AKun Wallpaper 代码审计实战分析4

Posted rpsate

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了AKun Wallpaper 代码审计实战分析4相关的知识,希望对你有一定的参考价值。

前言

在上一篇文章中重点分析了SQL注入漏洞以及介绍了其修复方案,但是给出的修复方案并没有完全修复SQL注入漏洞。接下来将详细分析未完全修复的SQL注入漏洞的绕过方案和修复方法。

AKun Wallpaper 代码审计实战分析1:https://blog.csdn.net/rpsate/article/details/122354690
AKun Wallpaper 代码审计实战分析2:https://blog.csdn.net/rpsate/article/details/122387998
AKun Wallpaper 代码审计实战分析3:https://blog.csdn.net/rpsate/article/details/122400520

漏洞分析1(上一期未完全修复的SQL注入漏洞)

审计过程

看到 lib/mysql.func.php第28行,其中 $table虽然是可变参数,但是其数据不是用户传递得到的,所以该变量安全。但是 $key是用户传递过来的,它来自$_POST数组中的,所以该变量用户可控。再注意观察,$key两旁并没有用引,所以这条SQL语句并不需要引号就可以闭合,那么 mysql_real_escape_string函数在此处也就没有作用了。

漏洞复现

只要将payload稍作修改,并将payload写在键值对的 中,而不是中即可绕过转义函数的限制。如下图所示,发送请求5s后才收到响应包,这说明 sleep(5)函数执行成功,存在SQL注入漏洞。

payload:

username=test&password=123456&email)/**/values(1,1,sleep(5));#=

执行的SQL语句:

INSERT INTO admin_root(username,password,email)/**/values(1,1,sleep(5));#) VALUES('test','e10adc3949ba59abbe56e057f20f883e','')

修复方案

此处mysql_real_escape_string函数无效,那么可以采用白名单的方式来过滤非法字符。$key代表的是数据表中的字段名,所以可以用所有表中字段名建成一个白名单。将这个白名单写在 lib/mysql.func.php中,如下图所示:

$allow_columns = array('id', 'username', 'password', 'email', 'imageName', 'imagePath');

然后逐个判断 $key是否存在白名单中,如果不存在则直接删除这个键值对。

global $allow_columns;
foreach ($data as $key=>$value) 
    if (!in_array($key, $allow_columns)) 
        unset($data[$key]);
    

再次测试,发现 sleep(5)没有执行。此时SQL注入漏洞已经完全修复。

漏洞分析2

审计过程

看到 lib/mysql.func.php的34行的update函数,该函数中未对传入数据中特殊字符转义,所以存在sql注入漏洞。

在函数中加入下面两行代码对特殊字符进行转义:

$key = mysql_real_escape_string($key);
$value = mysql_real_escape_string($value);

判断 $key是否在白名单中,不在白名单中则删除该键值对:

global $allow_columns;
foreach ($data as $key=>$value) 
    if (!in_array($key, $allow_columns)) 
        unset($data[$key]);
    

现在虽然处理了参数$data传入的数据,但是在这个函数中还有一个参数$where可能存在sql注入漏洞。看到 core/core.php的44行,此处的id=$id即函数 update中的 $where。接下来继续寻找 $id的源头,因为$id$admin_user的源头不同数据流终点相同,所以依次点击左边 mysql.func.php:41 (Shared Sink) - [0/4]下面的几个数据流就可以很快找到 $id的源头。

看到 admin/doAdminAction.php的第18行,$id来源于POST数据,然后$id传递给了updateAdmin函数。整个数据流中未对 id进行任何处理,所以一定存在sql注入。

漏洞复现

在浏览器中修改用户资料,同时用burpsuite抓取数据包,构造好payload并发送数据包。如下图所示程序成功执行了构造好的payload。

id=2 and sleep(5)&username=test&password=&email=test

修复方法

要注意其中的 $where$where拼接在SQL语句中WHERE的后面,那么 $where的格式应该为 key1='value1' and/or key2='value2'或者没有引号的key1=value1 and/or key2=value2。如果 $where中存在引号则不能直接对 $where进行转义,需要先对接收到的数据转义,然后再将数据传递给变量$where

继续看到 lib/core.php的第44行,此处$idint型,所以可以通过 intval函数处理。或者在$id两旁加上单引号并用 mysql_real_escape_string函数处理。

$id传入函数前面添加下面代码即可:

$id = intval($id);

再次尝试,发现payload已经无效了。

通过mysql监控工具发现sql语句中的id并不等于 2 and sleep(5),而是等于2。因为字符串经过 intval函数处理后就会变成整数。其他sql注入漏洞修复方法类似,请各位师傅尝试自行修复。

漏洞分析3

审计过程

fortify提示没有设置httponly。如果没有设置 httponly,那么用户可以通过js获取cookie。如果仅仅是没有设置 httponly,那么攻击者无法利用这个漏洞。但是这与XSS结合,那么危害就很大了。

漏洞复现

登录网站后台,记得勾选记住密码,这样才会设置cookie。

登录网站后台后按下 F12调出控制台,然后在控制台输入以下js代码并执行。这句js代码的意思是获取cookie并在控制台输出。执行代码后发现成功输出的cookie。

console.log(document.cookie);

修复方案

cookie可以分为自定义设置的cookie和标识seesion的cookie。自定义生成的cookie是通过 setcookie函数或者 setrawcookie函数设置,这两个函数的第7个参数代表是否设置 httponly,默认为false。标识session的cookie,也就是 PHPSESSID会在启用session的时候存储在浏览器中。 PHPSESSID开启 httponly既可以在配置文件 php.ini中修改session.cookie_httponly = On 也可以使用函数ini_set("session.cookie_httponly", 1)。要注意的是函数 ini_set必须放在session_start函数前面,因为session_start函数执行的同时 PHPSESSID就设置好了。

setcookiesetrawcookie的区别是前者会对数据进行url编码,后者存储原始数据。

ini_set函数不能用在php5.2以前的版本。

在文件include.php中10行添加下列代码:

ini_set("session.cookie_httponly", 1);

然后将所有 cookie函数的第七个参数设置成 true,例如 setcookie("adminId", $id, time()+7*24*3600, null, null, null, true);

删除所有cookie,再次登录后尝试用js获取cookie,发现已经无法通过js获取cookie了。

以上是关于AKun Wallpaper 代码审计实战分析4的主要内容,如果未能解决你的问题,请参考以下文章

AKun Wallpaper 代码审计实战分析5

PHP代码审计18—PHP代码审计小结

代码审计seacms 前台Getshell分析

PHP代码审计 | 记一次CMS代码审计

20-PHP代码审计——damicms5.3-5.4漏洞分析

20-PHP代码审计——damicms5.3-5.4漏洞分析