记一次某下单系统审计——前台注入突破360webscan限制getshell-先知社区

前言

半夜闲来无事在码站中挑选几套源码审计用来写文章做案例，结果在十几套源码中，我一眼就顶真上了这套自主下单系统

或许是命中注定，当我点击下载开始，就有了这篇文章

fofa结果

：

还不少

项目分析

源码下载到本地，phpstorm启动

项目结构

彩虹发卡那套二开的源码，我们先筛选前台文件

后台鉴权关键词

上工具

项目地址：https://github.com/caigo8/PHPAuthScanner

前台SQL注入

这套系统把sql查询方法封装了，那这里就一个个方法搜了、

限定目录一个个搜索关键词

挺多的，但是基本是不是做了字符转义

就是数据类型转换

在我长达两年半的筛选中，还是让我找到了一处，没有字符转义和数据类型转换的点

关键词

getColumn(

133通过getColumn执行语句，语句中直接拼接了$sql，$sql在131行定义，直接通过get传参，这里的逻辑判断只有GET['type']>=0，这个传什么都满足，问题不大，从接收参数到带入语句执行，没有看到字符转义和类型转换，存在注入

尝试延时poc

发现提示“输入内容存在危险字符，安全起见，已被本站拦截”

在代码中全局搜索

搜索

webscan_pape()

方法

发现项目存在360webscan

突破360webscan限制getshell

第一次遇到这个东西，第一反应在网上搜索对应资料

发现网上关于这个的主要利用白名单绕过，发现是P牛在14年提出的，真是流批(膜拜P神)

文章链接：https://www.leavesongs.com/PENETRATION/360webscan-bypass.html

于是我在项目中查看白名单设置

默认没有设置，那么除了webscan_white_url的特点路由的特点参数就是全局配置了，这里尝试从过滤规则入手吧

查看过滤规则

这里是get传数据，我们关注get过滤规则即可

过滤规则

//get拦截规则

$getfilter = "\\<.+javascript:window\\[.{1}\\\\x|<.*=(&#\\d+?;?)+?>|<.*(data|src)=data:text\\/html.*>|\\b(alert\$|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\(.*$|sleep\s*?$.*$|\\b(group_)?concat[\\s\\/\\*]*?\$[^\$]+?\\)|\bcase[\s\/\*]*?when[\s\/\*]*?$[^$]+?\)|load_file\s*?\$)|<[a-z]+?\\b[^>]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([\\(\$'\"\\d]+?=[\$\$'\"\\d]+?|[\$\$'\"a-zA-Z]+?=[\$\$'\"a-zA-Z]+?|>|<|\s+?[\\w]+?\\s+?\\bin\\b\\s*?$|\\blike\\b\\s+?[\"'])|\\/\\*.*\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT\s*(\(.+$\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)|UPDATE\s*($.+$\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE)@{0,2}(\$.+\$|\\s+?.+?\\s+?|(`|'|\").*?(`|'|\"))FROM(\$.+\$|\\s+?.+?|(`|'|\").*?(`|'|\"))|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)|<.*(iframe|frame|style|embed|object|frameset|meta|xml)";

太多了，ai分析注入相关的过滤条件

正则片段	匹配内容	描述
\b(and\|or)\b	and, or	常见逻辑运算符，常用于注入中的条件判断（如 ' OR '1'='1）
\s+?[\\w]+?\\s+?\\bin\\b	in	用于构造 IN() 子句，绕过黑名单过滤器
\blike\b	like	用于模糊匹配查询，也可能被用来进行盲注探测
benchmark\s?$(.$	benchmark(...)	时间盲注常用函数，用于延迟响应时间
sleep\s?$(.$	sleep(...)	同样用于时间盲注，制造延迟
(group_)?concat[\\s\\/\\]?$[^\\)]+?$	concat(...), group_concat(...)	字符串拼接函数，常用于提取数据或绕过黑名单
case[\s\/\]?when[\s\/\]?$[^$$]+?$	case when ... then ... end	条件判断语句，用于盲注探测数据库结构
load_file\s*?$	load_file(	读取服务器文件，可能用于读取敏感信息
EXEC	exec	执行命令，常用于 MSSQL 环境下的命令执行注入
UNION.+?SELECT	union select ...	联合查询，从其他表中提取数据
UPDATE\s$.$SET	update ... set ...	修改数据，可能篡改数据库内容
INSERT\\s+INTO.+?VALUES	insert into ... values ...	插入恶意数据
(SELECT\|DELETE)@{0,2}$.$FROM$.$	select ... from ..., delete ... from ...	查询或删除数据，获取或清除敏感信息
(CREATE\|ALTER\|DROP\|TRUNCATE)\\s+(TABLE\|DATABASE)	create table, drop database 等	数据库结构操作，可能破坏系统
$\/$\.$\*\/$	/.../	SQL 注释符，常用于绕过关键字过滤规则
[\$\$'\"\\d]	(, ), ', ", 数字	SQL 中常见的符号，用于构造复杂注入语句
>\|<\|=\|\s+?([\$\$'\"\\d]+?=[\$\$'\"\\d]+?\|[\$\$'\"a-zA-Z]+?=[\$\$'\"a-zA-Z]+?)	比较操作符及等号匹配	如 '1'='1'、a=b，常用于布尔盲注