记一次从代码审计到webshell到提权尝试的完整渗透过程

代码审计

noname
如图这次审计做的是某发卡cms，整体就是一个用户购买卡并提取卡密的平台。

如图，结构比较简单。

其中config.php为mysql配置文件，其中会有mysql配置信息，下文会再提到。

readme
从readme里面可以看到，此CMS在18年4月还进行了更新。但此CMS安全水平非常差，可以说是漏洞百出。下面进行分析

sql漏洞

进入getkm.php，这是一个提取卡密的页面，提供了查询卡密的接口。部分sql关键代码如下

	<?php }elseif ($_GET['act'] == "query") { 
	/**/
	if(!empty($_POST['tqm'])){
    $tqm = $_POST['tqm'];
    $sql = "select * from ayangw_km
    where out_trade_no ='{$tqm}' or trade_no = '{$tqm}' or rel = '{$tqm}'
    ORDER BY endTime desc
    limit 1";
    
    $res = $DB->query($sql);
    if($row = $DB->fetch($res)){
        $sql2 = "select * from ayangw_goods where id =".$row['gid'];
        $res2 = $DB->query($sql2);
        $row2 =$DB->fetch($res2);
    }else{
        exit("<script>alert('无此条记录！');window.location.href='getkm.php'</script>");
        
    }
}
	    ?>

可以看到典型的sql直接拼接造成的sql漏洞，$tqm参数直接传入用户输入也未做过滤。我回溯了$DB函数，也未发现安全过滤措施，所以sqlmap直接可以撸下来。

noname

其他地方的sql查询也差不多，漏洞百出，就此跳过sql注入。

后台上传漏洞

来到后台在set.php，上传logo的代码部分如下：

if($_GET['mod']=='upimg'){
echo '<div class="panel panel-primary"><div class="panel-heading"><h3 class="panel-title">更改首页LOGO</h3> </div><div class="panel-body">';
if($_POST['s']==1){
$extension=explode('.',$_FILES['file']['name']);
if (($length = count($extension)) > 1) {
$ext = strtolower($extension[$length - 1]);
}
if($ext=='png'||$ext=='gif'||$ext=='jpg'||$ext=='jpeg'||$ext=='bmp')$ext='png';
copy($_FILES['file']['tmp_name'], ROOT.'/assets/imgs/logo.'.$ext);
echo "成功上传文件!<br>（可能需要清空浏览器缓存才能看到效果）";
}