并非有意愿要审计该站，前面的走的黑盒没有过于精彩部门就不在贴上了，对于此系统站你们懂的，多说无益，这套程序是开源的，像这种自助提卡系统信赖人人已经不在陌生了，许多违法网站通过这种平台方式提卡密的相当于购置约请码，源码是小伙伴提供的，接纳的是php+mysql举行开发的24小时自动售卡平台，空话就不多说了。

　　源码信息：你猜啊

　　破绽类型：Forwarded-For注入

　　搭建乐成之后如下 ：

　　看到如下页面是不是有似曾相识的感受：

　　上图是安装事后的首页，就是一个提卡网，继续吧！

　　这是首页文件，进去首先判断了install目录下的lock文件是否不存在而且判断是否有index.php文件，若是知足以上条件就跳转到install目录下的index.php，我们跟进install/index.php文件：

　　这里我们只看判断是否安装历程序，判断是否存在lock文件而且step不即是5的情况下就执行判断语句中的代码，固然这里若是header函数后没有exit就会存在重装破绽。

　　我们接着看index.php，光是index.php文件就用行代码，代码都不规范，以是我们先看看其它文件，看看api.php文件：

　　这里很明显我们看到了SQL注入，首先判断是否设置了_POST[“dh”]再判断_POST[“dh”]不为空则将该参数拼接到SQL语句中，看到这里就可以判断出该程序存在团结查询注入，可是config哪来的，这个文件也没包罗其它的文件啊！！！怎么办呢？那么我们就来找找index文件中是否包罗了api.php，search一下

　　可以看到在行这里包罗了api.php文件，我们组织下放入sqlmap中玩一玩。

　　这里可以看到注入类型确实是团结查询，我们接着实验下这个提卡网是否存在SQL注入。

　　我们实验内陆站点的时刻毫无问题，为什么这个提卡网就没有存在这个问题了呢？很明显这个网站可能是升级或者二开发过的，我们接着看看其它点，进入http:///hkjs/pay/pay.php文件：

　　代码过多就不逐一贴图出来了，主要组成破绽的代码就在这其中，我们从38行最先看着走。

　　这里判断_GET[“type”]即是delete的时刻则执行40-49行的代码，41将获取到的ip拼接到sql语句中，我们看看ip函数：

　　这里可以看到程序获取ip可以从客户端的头参数中获取，划分为HTTP_X_FORWARDED_FOR，HTTP_CLIENT_IP，这个函数真的仅仅是获取外部通报的参数的，一点也没有过滤，我们看到了这里就可以嘿嘿了，基本上这个网站拿下了，我们接着看看，回到41行，再看下边的，我们不宜在这里举行SQL注入，由于接着会将查询到的值又举行下一个SQL语句的拼接，这样返回值就不准确，用工具的历程就很难判断了，我们跳出这里的判断，看看51-54行划分判断了_GET['type']，_GET['money']，_GET['title']，_GET['pwd']这几个参数存不存在，以是我们这里可以这样组织get参数：

　　我们接着看下边的，第58-65行，首先是判断了type是否即是zfb，若不即是则退出当前程序并打印Tip:Type error!，以是我们还得接着改改get参数：

　　接下来，可以看到67行中再次将获取到的ip拼接到了SQL语句中，我们这样来，在67行的下边打印出当前执行的SQL语句

　　好了，现在我们打开burp举行抓包，然后伪造ip举行一系列的嘿嘿了，由于http:///hkjs/pay/index.php中包罗了pay.php，以是我们对index.php举行注入就好

　　接见http://localhost:/pay/index.phptype=zfbamp;money=1amp;title=adssadamp;pwd=，付款码页面：

　　可以看到这是一个很正常的页面了，而且打印出了SQL语句，我们抓包：

　　正常页面：

　　错误页面：

　　好的，现在看到了吧！我们放到SQLmap中跑一下看看，我们将这个数据包保存到文本中，而且标注注入位置：X-Forwarded-For这个注入还自带绕过waf功效，由于许多waf不会检测hander参数。

　　我们对谁人网站测试一番，接见：http://lxxxx.pw/pay/index.phptype=zfbamp;money=1amp;title=adssadamp;pwd=

　　可以看到缺少 “spid” 参数我们加上继续接见，页面是支付宝扫码支付 – -RL吧论坛约请码：

　　http://llxxxxx.pw/pay/index.phptype=zfbamp;money=1amp;title=adssadamp;pwd=amp;spid=1

　　把该数据放到文本中，接着举行测试：

　　乐成挖掘到了该网站的破绽，继续。

　　拿到了治理账号及密码。接着接见。

　　默认后台：http://lxxxx.pw/admin.php

　　由于之前进去过一次，让他亏损了点钱，现在后台的名字也改了 。

　　跟此网站的搭建人聊了会，从去年11月份搭建平台以来已赢利普通人一年的薪资。为了养家糊口，冒此风险也是不容易，切勿为了蝇头小利以身试法，就这样做个纪录，到此为止吧。

　　文中提及技术细节，仅作交流，请勿用于非法活动！！

　　*本文原创作者：FK_T