岳阳罐体保温施工队 [代码审计]云ec电商系统代码审计

尊敬的投资者您好！益阳橡机的主营业务为橡胶机械制造，主要产品有密炼机、硫化机、挤出机等橡胶机械。产品应用领域涉及轮胎、输送带、电线电缆、摩擦材料、医用橡胶、冶金、林业等行业。桂林橡机橡胶工业用设备设计、制造，主要产品包括轮胎硫化机、轮胎成型机等。产品应用于轮胎制造领域。两个公司在硫化机产品方面存在共同的产品长，但其技术路线和市场定位上有差异，益阳橡机产品从40.5吋-69吋，涵盖半钢及全钢轮胎的硫化，主要服务于市场中、高端客户，市场定位为国内领先，国际，技术路线为技术引进吸收后再改进创新。桂林橡机公司产品为32吋-236吋全系列覆盖半钢、全钢、工程胎、工程巨胎、航空轮胎、工业轮胎等产品的硫化，主要服务于市场中、高端客户，市场定位为国内领先，技术路线为自主创新。感谢您的关注！

天眼查资料显示，赛轮集团股份有限公司，成立于2002年，位于青岛市，是一家以从事橡胶和塑料制品业为主的企业。企业注册资本328810.0259万人民币。通过天眼查大数据分析，赛轮集团股份有限公司共对外投资了12家企业，参与招投标项目146次，财产线索方面有商标信息205条，利信息2238条，此外企业还拥有行政许可43个。

0x00 前言

看了一下博客内新的文章，竟然是3月28号的，一个多月没写文章了，博客都长草了。

主要是临近毕业，事情繁多，也没有啥时间和心情静下来写。。

不过现在的话，毕业的东西告一段落了，几乎没啥事了，总算能静下来好好学习。

发了篇文章在t00ls，不过是精简版的，有些地方没有细讲。之前也有伙伴留言说，文章放到t00ls，有些没账号的朋友看不到。这里我搬运一下。

0x01 基础环境审计版本为V1.2后更新时间:2018-04-20用到的工具:vscode，phpstudy

0x02 前台注入漏洞分析漏洞其实很简单，就是我们常见的获取ip没过滤的问题的，但这里需要点条件。看到inc\funciton\functions_admin.php getip()函数

看到几个判断语句，先是判断是否使用了代理访问，如果没有使用直接用$_SERVER['REMOTE_ADDR']来获取ip，这个我们是没办法控制的。如果使用了代理访问的话，进到判断$_SERVER['HTTP_CLIENT_IP']是否为空，不为空，直接设置$ip=$_SERVER['HTTP_CLIENT_IP']，管道保温施工而这个头我们是可以通过Client-Ip进行控制。因为这里是SERVER变量，绕过了对GPC的过滤，看到过滤文件inc\function\global.php

全局寻找getip()使用的位置。

找到了一处比较好利用的一个点，看到文件inc\module\user.php

这里是用户评论的逻辑代码，看到后一个if判断中，使用到了getip()函数，跟进check_comment_reply函数，inc\lib\user.php

没有过滤带进去了，那么就可以注入了。getip()有很多地方用到，但是仅限于使用query，查询的。insert,update方法都在底层做了过滤，不展开讲。而且这个站默认是开启报错的，可以直接利用报错获取数据。那么整理一下漏洞利用条件：1，需要开启会员注册，因为注册要发送验证码，很多商城可能已经废了。2，需要代理访问。妈的，不知道谁改了demo站演示账号的密码，找了个站演示：

文字表达一下利用：请求URL:/user.html?act=add_comment_reply&content=1&cid=1&pid=1header:Client-Ip:注入payload获取管理账号

获取密码，分两段获取，后一个字符获取不出来。

后的密码为：f9c8c87e0a1f9d085b1008010fbd7781这个系统密码的加密方式是这样的：

手机：18632699551（微信同号）

加了盐，我们需要把盐也注出来：

之后就是拉去解一下md5，md5解不出也没有关系。因为这个系统底层用的是pdo，支持多语句执行。那么可以直接插入一个管理员，或者修改已有管理员的密码，搞完之后修改回来就好了。这里以修改管理员密码为例：

进入后台

0x03 后台任意文件包含

后台有一个任意文件包含，上传图片马，访问URL

这里主要是因为sp_file没有定义，系统存在全局变量注册，可直接定义变量，看到inc\admin_inc\page\express_track.php

$sp_file未定义，无过滤，直接require，造成了文件包含。这个利用前台的头像+后台的csrf可以直接getshell。

这个系统还有一个session固定的漏洞，结组拳直接进后台。