[PHP コード監査サンプル チュートリアル] SQL インジェクション-4. グローバル保護バイパスの二次インジェクション

0x01 Background

現在の WEB プログラムには、基本的に SQL インジェクション用のグローバル フィルタリングが備わっています。たとえば、PHP は GPC をオンにするか、グローバル ファイル common.php の addslashes() 関数を使用して、受信したパラメータ、特に一重引用符をフィルタリングします。 。二次注入も比較的一般的な注入であり、倉庫への出入りが伴います。グローバルエスケープがあるため、データベースに入るとき:

テーブル(ユーザー名)の値に挿入 ('hack'');

データベースに入るとエスケープ文字が消えてhack'になるので、hack'があれば出力 ライブラリがクエリに取り込まれると、一重引用符が正常に導入され、インジェクションが行われます。

この脆弱性は Wuyun から来ています:

http://www.wooyun.org/bugs/wooyun-2014-068362

0x02 環境セットアップ

背景を見ると、74cms プログラムの低バージョンを使用していました。 、バージョン 3.4 (20140310)

①ソース コードはオンラインで見つけることができます。コピーをパッケージ化しました: http://pan.baidu.com/s/1c1mLCru

②www の 74cms (20140310) ディレクトリに解凍し、http にアクセスします。 :/ ブラウザで /localhost/74cms(20140310))、プロンプトに従って段階的にインストールしてください。インストール中に問題が発生した場合は、Baidu または Google を使用して、次の画像にアクセスしてください。

0x03 脆弱性分析

パート 1: ソース コードの構造

ソース コードの構造は、これまでに監査した中で最も明確な構造になっています。主に次の 3 つの部分が含まれています。 common.inc.php ファイルを追跡し、処理中の gpc 関数を発見しました:

if (!empty($_GET)){$_GET  = addslashes_deep($_GET);}if (!empty($_POST)){$_POST = addslashes_deep($_POST);}$_COOKIE   = addslashes_deep($_COOKIE);$_REQUEST  = addslashes_deep($_REQUEST);

GET リクエストと POST リクエストで変数を処理するときにサーバーが addslashes を実行することがわかります。

パート 2: 監査プロセス

1. まず、履歴書を公開する場所:

elseif ($act=='make4_save'){$resume_education=get_resume_education($_SESSION['uid'],$_REQUEST['pid']);if (count($resume_education)>=6) showmsg('教育经历不能超过6条！',1,$link);$setsqlarr['uid']=intval($_SESSION['uid']);$setsqlarr['pid']=intval($_REQUEST['pid']);if ($setsqlarr['uid']==0 || $setsqlarr['pid']==0 ) showmsg('参数错误！',1);$setsqlarr['start']=trim($_POST['start'])?$_POST['start']:showmsg('请填写开始时间！',1,$link);$setsqlarr['endtime']=trim($_POST['endtime'])?$_POST['endtime']:showmsg('请填写结束时间！',1,$link);$setsqlarr['school']=trim($_POST['school'])?$_POST['school']:showmsg('请填写学校名称！',1,$link);$setsqlarr['speciality']=trim($_POST['speciality'])?$_POST['speciality']:showmsg('请填写专业名称！',1,$link);$setsqlarr['education']=trim($_POST['education'])?$_POST['education']:showmsg('请选择获得学历！',1,$link);$setsqlarr['education_cn']=trim($_POST['education_cn'])?$_POST['education_cn']:showmsg('请选择获得学历！',1,$link);    //看到这里有个插入表“qs_resume_education”的操作，将教育背景相关的字段入库    if (inserttable(table('resume_education'),$setsqlarr))    {        check_resume($_SESSION['uid'],intval($_REQUEST['pid']));

2. ここで、一重引用符を追加すると、エスケープ文字が追加されます。データベースに保存された後は削除されます。 inserttables の後に check_resume 関数を続けてみましょう

//检查简历的完成程度function check_resume($uid,$pid){global $db,$timestamp,$_CFG;$uid=intval($uid);$pid=intval($pid);$percent=0;$resume_basic=get_resume_basic($uid,$pid);$resume_intention=$resume_basic['intention_jobs'];$resume_specialty=$resume_basic['specialty'];//获取教育经历，出数据库了$resume_education=get_resume_education($uid,$pid);if (!empty($resume_basic))$percent=$percent+15;if (!empty($resume_intention))$percent=$percent+15;if (!empty($resume_specialty))$percent=$percent+15;if (!empty($resume_education))$percent=$percent+15;if ($resume_basic['photo_img'] && $resume_basic['photo_audit']=="1"  && $resume_basic['photo_display']=="1"){$setsqlarr['photo']=1;}else{$setsqlarr['photo']=0;}if ($percent<60){    $setsqlarr['complete_percent']=$percent;    $setsqlarr['complete']=2;}else{    $resume_work=get_resume_work($uid,$pid);    $resume_training=get_resume_training($uid,$pid);    $resume_photo=$resume_basic['photo_img'];    if (!empty($resume_work))$percent=$percent+13;    if (!empty($resume_training))$percent=$percent+13;    if (!empty($resume_photo))$percent=$percent+14;    $setsqlarr['complete']=1;    $setsqlarr['complete_percent']=$percent;    require_once(QISHI_ROOT_PATH.'include/splitword.class.php');    $sp = new SPWord();    $setsqlarr['key']=$resume_basic['intention_jobs'].$resume_basic['recentjobs'].$resume_basic['specialty'];            $setsqlarr['key']="{$resume_basic['fullname']} ".$sp->extracttag($setsqlarr['key']);    $setsqlarr['key']=str_replace(","," ",$resume_basic['intention_jobs'])." {$setsqlarr['key']} {$resume_basic['education_cn']}";    $setsqlarr['key']=$sp->pad($setsqlarr['key']);        if (!empty($resume_education))    {        //遍历教育经历所有字段，加入到数组里        foreach($resume_education as $li)        {        $setsqlarr['key']="{$li['school']} {$setsqlarr['key']} {$li['speciality']}";        }    }    $setsqlarr['refreshtime']=$timestamp;}//这里对教育经历做了次更新操作，二次注入由此产生！updatetable(table('resume'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'");updatetable(table('resume_tmp'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'");

3. 簡単なテストのために履歴書を記入してみましょう。保存後、教育経験部門の学校名フィールドに aa' を記入してください:

0x04 脆弱性の証明

データベース ユーザー関連情報を取得するための POC を構築します:

履歴書を確認し、履歴書名が root@localhost:

SQL ステートメントを確認し、更新されたことを確認します。ステートメントは正常に実行されました:

最後に、興味のある学生は引き続き他の管理者アカウントやその他の関連フィールドに関する情報を取得できます。

元のアドレス:

http://www.cnbraid.com/2016/02/19/sql3/