本文由雲+社群發表

0x00 前言

乾白盒審計有小半年了，大部分是業務上的程式碼，邏輯的複雜度和功能模組結構都比較簡單，幹久了收獲也就一般，有機會接觸一個成熟的產品（vtiger CRM）進行白盒審計，從審計的技術難度上來說，都比公司內的那些業務複雜得多，而真正要提高自己技術水平，更應該看的也是這些程式碼。

vtiger CRM是一個客戶關係管理系統。

0x01 分析整體結構

https://www.vtiger.com/open-source-crm/download-open-source/程式碼下載下來，本地搭建。使用phpstorm進行審計。

1. 主目錄下的vtigerversion.php可以檢視當前版本。

1. 整體程式碼目錄

   

其中主要得功能實現就在modules目錄當中，也是我們重點審計的地方。libraries目錄是使用到的第三方的一些東西，includes目錄是路由載入，封裝系統函式的地方。

整個系統程式碼量確實很多，真要審計完估計沒有十天半個月是不行的，看了一個禮拜，只發現幾個問題。

0x02 modules/Calender/actions/feed.php SQL注入分析

一個成熟的產品，審計的難點就在於各種類，物件的封裝和繼承，A呼叫B，B呼叫C，C呼叫D......

Vtiger_BasicAjax_Action 這個物件，是modules下vtiger目錄裡的，而vtiger這個也是核心的module.

回到feed.php,直接定位有漏洞的程式碼，103行後。

我圖中標的，也正是注入點的位置。

$fieldName引數由逗號分割成陣列，如果分成後的陣列值為2則進入邏輯，然後引數進入SQL語句形成注入。雖然整個系統採用了PDO的查詢方式，但是如果有SQL語句存在直接拼接的話，還是有注入的風險。

這裡payload不能使用逗號，可以採用 (select user())a join的方法繞過。

往下走的話，SQL注入漏洞更是多不勝數。也沒有再看的必要了。

0x03 /modules/Documents/models/ListView.php SQL注入

直接看漏洞程式碼

可以看到sortorder引數又是直接拼接。此處是order by後的注入，只能用基於時間的盲注。

直接上SQLmap吧，但是sqlmap的payload會使用>，尖括號因為xss防禦，已經被過濾所以需要使用繞過指令碼。 --tamper greatest 繞過。

poc:

index.php?module=Documents&parent=&page=1&view=List&viewname=22&orderby=filename&sortorder=and/**/sleep(5)&app=MARKETING&search_params=[]&tag_params=[]&nolistcache=0&list_headers=[%22notes_title%22,%22filename%22,%22modifiedtime%22,%22assigned_user_id%22,%22filelocationtype%22,%22filestatus%22]&tag=

0x04 寫在最後

由於時間原因，只看了前幾個模組，還有好多地方沒有看。

漏洞都很簡單，真正花費時間的是走通邏輯，驗證漏洞，不停地跳轉檢視函式呼叫，和各種類物件的繼承。這也是白盒審計的頭疼之處，要忍著性子看開發跳來跳去，沒準哪個地方就跳錯了。有點難受，還沒找到getshell的地方。

此文已由作者授權騰訊雲+社群釋出