PHPOK CMS实战审计：从校园信息站拆解企业级系统的安全隐患

第7章 第81课

《PHPOK CMS实战审计：从校园信息站拆解企业级系统的安全隐患》
"当内容管理系统遇到选修课报名表，在电商与博客场景下揪出SQL注入漏洞"

---

一、项目定位：校园里的"万能建站器"

"想象你在帮摄影社团搭建作品展示站，或为创业比赛做商品预售页面——PHPOK这种CMS就像乐高积木，但默认配置藏着危险机关 (´･_･`)"

// 典型架构示例（PHP+MySQL）
class CourseSystem extends PHPOK {
// 选修课报名模块
public function signUp($course_id, $student_id) {
$sql = "INSERT INTO signups VALUES (null,$course_id,'$student_id')";
$this->db->query($sql); // 危险：直接拼接学号
}
}

---

二、环境搭建：十五分钟快速开箱

"用宿舍的旧笔记本操作，比安装微信还简单"

# 实战记录（Ubuntu终端）
sudo apt install lamp-server^# 安装LAMP环境
wget https://www.phpok.com/down/phpok5.zip
unzip phpok5.zip -d /var/www/html/elective_system
chmod -R 777 /var/www/html/elective_system/data # 注意！这是漏洞诱因
# 访问 http://localhost/elective_system 完成安装

---

三、功能测绘：学生管理系统蓝图

"这些模块就像校园服务的数字骨架"

graph TD A[前台功能] --> B[课程展示] A --> C[商品购买]<!-- 创业比赛用 --> A --> D[博客文章] E[后台管理] --> F[用户审核] E --> G[订单管理]<!-- 社团周边商城 --> E --> H[数据备份]

---

四、Seay自动化扫描：第一轮漏洞筛查

"让工具先跑一遍，像论文查重那样抓显眼漏洞"

# Seay检测SQL注入简化逻辑（伪代码）
def detect_sql_injection(file):
patterns = [
r"\$_GET\['\w+'\]\s*\.\s*'?'\s*\.\s*SELECT",
r"mysql_query\(\$.*\.\s*\$_POST"
]
for line in file:
if match_any_pattern(line, patterns):
report_vulnerability(file.name, line.number)
# 实际输出示例：
# [!] model/course.php:127 疑似SQL注入

---

五、SQL注入深度追踪：选课系统的陷阱

案例1：课程搜索注入

// www/model/course.php
function search($keywords) {
$sql = "SELECT * FROM courses WHERE title LIKE '%" . $keywords . "%'";
// 攻击payload：' UNION SELECT 1,user(),3,4 --
// 结果：泄露数据库账号
}

案例2：后台订单过滤缺失

// admin/order.ctrl.php
$order_id = $_GET['id'];
$rs = $this->model('order')->getOne($order_id);
// getOne内部未过滤：直接拼接SQL查询

案例3：个人中心二次注入

// user/profile.inc.php
$nickname = $_POST['nickname'];
$this->model('user')->update($nickname); // 存入数据库
// 后台管理员查看时触发：
$sql = "SELECT * FROM users WHERE nickname='$nickname'";

---

六、非常规漏洞：企业场景的特殊风险

漏洞示例：简历上传绕过

// 招聘模块简历上传（伪代码）
if($_FILES['resume']['type'] == 'application/pdf') {
move_uploaded_file($_FILES['resume']['tmp_name'], $path);
}
// 绕过方法：Burp修改Content-Type为application/pdf，实际传.php文件

漏洞示例：博客系统SSRF

// 远程图片抓取功能
$img_url = $_POST['cover_url'];
file_get_contents($img_url);
// 攻击payload：cover_url=file:///etc/passwd

---

七、防御方案对照表

漏洞类型	危险代码	修复方案	校园场景映射
SQL注入	$db->query("SELECT * FROM table WHERE id=".$_GET['id'])	PDO预处理	选课系统查询
文件上传	仅校验Content-Type	检查文件头+随机重命名	社团简历收取
路径遍历	file_get_contents($_GET['path'])	路径白名单校验	课程资料下载

---

结语：为什么企业级CMS更需要审计？

"当我在创业比赛的电商模块发现SQL注入时，突然意识到：这些漏洞不仅能删库，还能篡改商品价格——这比考试作弊后果严重多了 (￣□￣；)"

给未来安全工程师的建议：

1. 默认不信任原则 - 把每个输入看作作弊小抄那样可疑
2. 最小权限实践 - 像宿舍钥匙管理，保洁阿姨不该进你抽屉
3. 漏洞关联思维 - XSS+CSRF组合可能盗取后台权限

"下次帮社团升级PHPOK系统时，我会先检查model目录下的SQL拼接——毕竟谁也不想让摄影作品库变成黑客的玩具。"