AKun Wallpaper 代码审计实战分析1

本文主要是介绍AKun Wallpaper 代码审计实战分析1，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

前言

萌新博主前一段时间一不小心发现了一个漏洞并获取了一个CVE编号，高兴了好一阵子。于是本萌新就想学习一下代码审计，挖一点CVE来玩一玩。最终选择了《代码审计——企业级Web代码安全架构》作为学习资料。学习一阵子后准备进行实战分析，于是就想起了自己多年前写的一个小破站，代码下载地址：https://gitee.com/rpsate/akun-wallpaper 。该网站功能较少，采用函数式编程，代码嵌套少，漏洞较多，十分适合代码审计入门。该网站的功能模块如下图所示：

网站部署

首先在mysql中创建一个名为 searchimages的数据库。

mysql -uroot -proot #此处实例账号和密码都为root
create database searchimages #创建数据库

然后将网站根目录中的 searchimages.sql导入该数据库中，网站后台的默认账号和密码是admin:admin。

use searchimages
source D:\phpstudy\www\searchimages.sql #导入数据库

然后修改文件/configs/config.php中数据库账号和密码即可。

XSS漏洞

漏洞分析

首先通过审计工具fortify自动审计，这个工具可以扫描出可能存在的漏洞代码，然后再进行人工分析。扫描后发现存在三十多个可能存在xss漏洞的代码。

如下图中第一个xss漏洞在jquery.3.3.1.js中，这个文件是调用的js库，暂时不用管。我们看到 editAdmi.php的29行，这里直接将 $username和 $email变量输出来。我们看到窗口的左下方有数据流走向分析，点击中间 Diagram按钮后会出现数据流的走向的图示。这可以直观的表示出数据从哪里来，中间经过了哪里，这样可以使我们更加快速的分析出代码中是否存在漏洞。

通过分析发现 $username和 $email直接从数据库中取出，未经处理直接输出在了页面上。这极有可能存在一个xss漏洞，接下来可以通过利用该漏洞来确认该处是否存在漏洞。

漏洞复现

下面我们来复现一下这个xss漏洞。登陆网站后台，在添加管理员页面的邮箱栏填写 "/><script>alert(1)</script>//，账号和密码任意，然后点击添加管理员按钮。

点击刚刚添加账号后面的修改按钮就跳转到了 editAdmin.php页面，然后就发现成功的弹出了一个提示框，这说明该处存在一个漏洞。

修复漏洞

书中提供了两种解决建议，分别为：特殊字符HTML实体转码，标签事件属性黑名单。黑名单的绕过方式多种多样，防范难度非常高，我们这里就采用特殊字符实体转码的方式，当然最好同时采用两种方法。

特殊字符HTML实体转码主要有两个函数： htmlentities()和 htmlspecialchars(),两者都是将html特殊字符转码，其区别是htmlspecialchars()只格式化& ' " < 和 > 这几个特殊符号，htmlentities()会转换除了空格之外的特殊字符。

要注意的是使用htmlentities()如果不指定编码，遇到中文则会乱码。

两者默认都不会转义单引号 '，需要设置第二个参数来转义单引号。

第2个参数取值有3种，分别如下：

• ENT_COMPAT（默认值）：只转换双引号。
• ENT_QUOTES：两种引号都转换。
• ENT_NOQUOTES：两种引号都不转换。

如果不转义单引号，在特殊的情况下是会存在xss漏洞的，所以我们可以自定义一个同时对特殊字符和单引号转义的函数。该网站的 /lib/common.func.php文件被所有网页包含，可以在该页面中定义全局函数。

function my_htmlspecialchars($str) {return htmlspecialchars($str, ENT_QUOTES);
}

然后在每个数据输出点调用该函数即可，如下图所示。

然后我们刷新editAdmin.php页面，看到没有再次弹出提示框，而是在邮件输入框正常显示了全部的js代码。我们可以采用同样的方法可以修复其他xss漏洞。

漏洞分析

接下来看到 editImage.php的32行， $imagePath也是从数据库中直接取出，并且未处理直接输出在页面上。我们以同样的方法复现该漏洞，但是没有成功！所以可能是该数据再写入数据库前已经处理了。

接下来我们分析一下 $imagePath是如何进入数据库的，通过该变量名称得知该数据即图片的地址。我们看到 douploadImages.php的72行，通过分析得出 putImage函数是将图片的名称和地址写入数据库中。而图片的地址是通过时间戳生成唯一id，然后通过md5加密得到，所以这个数据源不可能存在恶意数据。所以通过分析得到该处不存在xss漏洞。

接下来分析 editImages.php的36行，变量$imageName是图片的名字，我们刚刚看到这个数据在输入数据库的时候没有处理，所以该处存在xss漏洞，需要调用特殊字符HTML实体转码函数来处理该数据。我们可以用同样的方法修复其他xss漏洞。

这篇关于AKun Wallpaper 代码审计实战分析1的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---