文章总结： 本文记录了作者在PHP代码审计过程中发现盲盒交友平台前台SQL注入漏洞的过程。通过分析系统过滤机制和鉴权方式，作者在pay/notify_url.php文件中找到了out_trade_no参数的非字符型注入点，成功绕过了系统的字符过滤机制。文章详细介绍了漏洞发现过程、系统过滤分析、鉴权机制以及最终的漏洞利用方法，为类似系统的安全防护提供了参考。 综合评分： 82 文章分类： 代码审计,漏洞分析,WEB安全,渗透测试

某盲盒交友平台前台SQL注入流程

原创

学员投稿

进击安全

2025年12月20日 17:24 北京

免责申明

本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。

一、前言

最近跟着小朋友老师学了学PHP代码审计，自己找到一套源码进行练练手，这里记录一下第一个前台的漏洞。

二、框架判断

打开项目之后进行观察，其实可以看出来并非是使用到框架类型进行开发的，文件是直接进行访问的，不需要去专门看路由的处理。

三、过滤分析

因为自己刚开始学代码审计，但是发现基本可以进行传递参数的地方都进行了过滤，代码如下：

基本都存在这种过滤，这种过滤对于字符型的注入就比较难搞了，这里利用小朋友课程讲解的dedecms刷证书的案例进行搜索。

pay/notify_url.php

因为这套源码基本将可以进行注入的地方都进行了相关的过滤并且过滤信息如下：

例如都是这种所以这种注入我们只可以找非字符串类型的也就是并没有被单引号包裹起来的注入。

四、鉴权分析

    进入后台进行查看，寻找鉴权信息。

跟入到包含文件当中。

发现在这里进行了判断，判断是否adminToken与md5加密后的name以及pwd相等，不相等的话进行重定向到login.php文件当中。

（这里判断出来了，只要不包含head的php文件前台即可访问，利用课上讲的工具进行尝试分离出前后台可访问文件）

最终获取到32不包含鉴权文件，倒出来相关文件之后挨个进行排查，发现存在一处SQL注入。

五、前台SQL注入

    在以下文件发现存在注入。

在这里可以看到参数out_trade_no参数是可以进行注入的，同时这里还需要报这个trade_status等于TRADE_FINISHED或者TRADE_SUCCESS。

并且这里注入为非字符型注入，不会收到相关过滤的影响从而导致SQL注入漏洞。

可以看到成功进行注入，审计到了第一枚前台漏洞。

广告区域

目前第四期进阶课程已经开始，课表如下：

同时报名第四期基础课程同样可看，课表如下：

同时具备内部资料以及靶场相关福利，想要了解的师傅可以冲了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：进击安全 学员投稿《某盲盒交友平台前台SQL注入流程》