本篇文章作者YanXia，本文属i春秋原创奖励计划，未经许可禁止转载地址https://bbs.ichunqiu.com/thread-63596-1-1.html

0x00 前言

这套老盘子现在公网上虽然还有些存活IP，不过应该没什么人实际在用。遂公开此文章。预与各位分享，共同学习代码审计技术。
本文章仅供安全人员学习攻防技术，请勿用于任何非法行为！！！
本文章仅供安全人员学习攻防技术，请勿用于任何非法行为！！！
本文章仅供安全人员学习攻防技术，请勿用于任何非法行为！！！

0x01 正文

1.去除验证

在本地搭建好后，发现下图爆了个错

去进入applicationcommon.php看看，发现是thinkcod()函数调用的该验证

它将NAV_NUM(thinkphplibrarythinkController.php)给调用出来组合成了个他们的后门域名并将当前系统程序的信息传到该域名中做记录。

由于该站点已经不可访问，所以我们只需要在file_get_contents前加上注释即可。

2.前台sql注入

该漏洞在网络上已有公开不过我发现大家都没正确的审计到存在注入的点~~
接下来跟着我分析。首先，该处漏洞用GET方式访问的时候路径为/index/goods/goods/pid/23

我们从代码层面看看。

我在网络上看到篇文章说三图GetProData()函数是导致sql注入的原因，但是在我调试之后发现并不是如此。我们根据去看看
下图这个写法会将pid变成字符串形式传参，而此处是不能用宽字节绕过的。所以说不会存在相关漏洞。具体形式为

SELECT `pi`.*,`pd`.* FROM `wp_productinfo` `pi` INNER JOIN `wp_productdata` `pd` ON `pd`.`pid`=`pi`.`pid` WHERE `pi`.`pid` = '23' LIMIT 1

而真正存在漏洞的其实是在下图的ChickIsOpen()

这个传参的方法会将pid以数字的形式带入到sql语句中，从而造成sql注入漏洞

SELECT * FROM `wp_opentime` WHERE ( pid=23 ) LIMIT 1

至于修复方法，这里就不便多说了。

    SELECT * FROM `wp_opentime` WHERE ( pid=23 and extractvalue(1,concat(0x7e,(select database()))) ) LIMIT 1

3.前台sql注入

这个洞在applicationindexcontrollerGoods.php 漏洞成因与上面的sql注入一致，我就不重复说了

4.前台XSS漏洞

下图画圈处，即为本此漏洞点。在经过echo前我们需要过一次checkSignature()

这里发现会判断我们传入的signature值是否与系统token值加密后一致。

那这里就简单了

我们不需要传入$timestamp, $nonce.这样就会直接将token值给sha1加密。

访问一下试试，成功弹窗 (PS：经过公网测试。基本上都没该这个地方的token)

'''
/weixin/weixin-token.php?echostr=%3Cscript%3Ealert(/yanxia/)%3C/script%3E&signature=a9da00a5cd91f9a067279e9739563d5590974fac&XDEBUG_SESSION_START=14518
'''