PHP代码审计 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入
Posted 云旗
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了PHP代码审计 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入相关的知识,希望对你有一定的参考价值。
0x01 背景
现在的WEB程序基本都有对SQL注入的全局过滤,像php开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。二次注入也是一种比较常见的注入,它涉及到入库和出库。因为有全局转义所以入库的时候:
Insert into table (username) values (‘hack\’’);
这样入库后转义符就会消失变成了hack’,这样如果hack’出库被带入查询的话就会成功的引入了单引号导致注入。
漏洞来源于乌云:http://www.wooyun.org/bugs/wooyun-2014-068362
0x02 环境搭建
看背景我们使用了低版本的74cms程序,版本为3.4(20140310)
①源码网上可以搜到,我打包了一份:http://pan.baidu.com/s/1c1mLCru
②解压到www的74cms(20140310)目录下,浏览器访问http://localhost/74cms(20140310)),然后按照提示一步步安装即可,安装遇到问题请自行百度或谷歌,成功后访问如下图:
0x03 漏洞分析
Part1:源码结构
源码的结构比较清晰,应该是审计过最清晰的结构了,主要有下面三块内容:
index.php引入了common.inc.php文件,我们跟进common.inc.php,发现了处理gpc的函数:
<?php
|
可以看到,服务端处理GET和POST请求的变量时都会做addslashes处理。
Part2:审计过程
1.首先在个人发布简历处:
elseif ($act == ‘make4_save‘) {
|
2.这里看到insert入库了,可以尝试加个单引号,入库后就会消除转义字符。我们先继续跟进inserttables后的check_resume函数
//检查简历的完成程度
|
3.我们填写一份简历简单试验下,在教育经历处学校名称字段填写aa’
保存后发现报错语句:
0x04 漏洞证明
构造获取数据库用户相关信息的POC:
查看简历发现简历姓名变成了[email protected]:
查看sql语句发现更新语句是成功执行的:
最后,有兴趣的同学可以继续获取其它的管理员账户等相关字段的信息。
原文链接:http://www.cnbraid.com/2016/02/19/sql3/,如需转载请联系作者。
以上是关于PHP代码审计 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入的主要内容,如果未能解决你的问题,请参考以下文章
那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode
那些年我们一起挖掘SQL注入 - 6.全局防护Bypass之一些函数的错误使用