某一客户的网站，以及APP系统数据被篡改，金额被提现，导致损失惨重，漏洞无从下手，经过朋友介绍找到我们SINE安全公司，我们随即对客户的网站服务器情况进行大体了解。建议客户做渗透测试服务。模拟攻击者的手法对网站存在的数据篡改漏洞进行检测与挖掘，就此渗透测试服务的过程进行记录与分享。
 

    首先客户网站和APP的开发语言都是使用的PHP架构开发，后端使用的thinkphp开源系统，对会员进行管理以及资料的统计，包括充值，提现，下单功能。服务器使用是linux系统。共有3个接口，分别是WEB前端，接口，后台，都采用的是action的方法来调用，并初始化数据。我们看下代码

    不同入口传入过来的值，并进一步的操作都不一样，我们SINE安全技术在get，post，cookies的请求方式中，发现一个规律，在查看代码中发现都是使用的get（）的方式来对传入过来的值进行安全校验与拦截。对一些特殊符号包括<>都进行了安全转义，不会直接输入到后端中去。基本上的一些漏洞，XSS，SQL注入漏洞是不会很容易地找到。我们继续对代码进行分析与渗透测试，对漏洞多次的测试，终于找到一处存在SQL注入漏洞的代码，存在于网站的会员头像上传功能。
 

    我们抓取上传的数据包，并进行修改，将恶意的SQL注入代码写入到数据包中，将头像的图片内容进行修改提交过去，发现服务器返回错误，原因是对图片的内容进行了解析操作，并将上传的路径地址写入到了数据库，而这个写入数据库的图片路径地址，并没有做详细的变量安全过滤，导致SQL注入的发生，由此可见，攻击者可以查询数据库里的管理员账号密码，并登陆到系统后台进行提权。平台的后台目录地址很容易遭到破解，后台名字写的竟然是houtai2019，很容易让攻击者猜解到，使用SQL注入漏洞获取到的管理员账号密码。登陆后台，上传webshell，查到数据库的账户密码，进行连接，修改数据库。