代码审计的艺术系列—第五篇

最新推荐文章于 2021-04-30 16:44:38 发布
最新推荐文章于 2021-04-30 16:44:38 发布
阅读量1k 收藏 2
点赞数
文章标签: 信息安全 php 代码审计

0x01前言

作者:HackBraid,乌云核心白帽子。 白帽子分享之代码审计的艺术系列(二、三、四季)是对绕过全局防护的场景进行的总结。没看前几季的同学,可以关注下。 代码审计的艺术系列—第一篇 代码审计的艺术系列—第二篇 代码审计的艺术系列—第三篇 代码审计的艺术系列—第四篇 接下来两篇介绍全局防护存在的盲点,首先是上篇:
盲点如下:
①注入点类似id=1这种整型的参数就会完全无视GPC的过滤;
②注入点包含键值对的,那么这里只检测了value,对key的过滤就没有防护;
③有时候全局的过滤只过滤掉GET、POST和COOKIE,但是没过滤SERVER等变量。
附常见的SERVER变量(具体含义自行百度):QUERY_STRING,X_FORWARDED_FOR,CLIENT_IP,HTTP_HOST,ACCEPT_LANGUAGE

0x02准备:

知识储备:php基础、MySql入门
工具:notepad++
服务器环境:wamp
测试代码和sql的链接: http://pan.baidu.com/s/1cqkg7G 密码: nesy

0x03全局防护盲点总结上篇的脑图:

全局防护盲点脑图

0x04数字型注入:

完全无视GPC的数字型的注入,其实仔细总结下发现还是很多可以学习的地方。

1.传入的参数未做intval转换、构造的sql语句没有单引号保护

缺陷代码:
<?php
require_once('common.php');
$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
$id = isset($_GET['id']) ? $_GET['id']: 1;
$sql = "SELECT * FROM news WHERE id={$id}";
$result = mysql_query($sql, $conn) or die(mysql_error());
?>

这种数字型的注入是全局防护的盲点,构造注入语句完全不需要单引号的支持,所以也就不存在转义了。例如我们直接构造获取管理员账户密码的POC:

http://localhost/sqltest/mangdian/int1.php?id=-1 union select 1,2,concat(name,0x23,pass) from admin%23

代码审计5-1

 

2.php弱类型语言,判断逻辑错误引发注入

缺陷代码:

<?php
require_once('common.php');
$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
$id = isset($_GET['id']) ? $_GET['id']: 1;
//增加逻辑判断
if($id<1){
$sql = "SELECT * FROM news WHERE id={$id}";
$result = mysql_query($sql, $conn) or die(mysql_error());
}
?>

当然前提是数字型的注入,这里特殊之处在于增加了个if($id<1)的逻辑判断,但PHP弱类型语言在逻辑判断上0<1和0 union select 1<1是等价的,都返回True。所以构造获取管理员账户密码的POC:http://localhost/sqltest/mangdian/int2.php?id=0 union select 1,2,concat(name,0x23,pass) from admin%23

代码审计5-2

3.过程中不全是数字型,忘记加单引号
这种情况是在第一条sql语句里是有单引号保护的,紧接着第二条sql语句没有单引号保护引发的注入,

缺陷代码:

<?php
require_once('common.php');
$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
$id = isset($_GET['id']) ? $_GET['id']: 1;
//第一条sql语句id参数有单引号保护
$sql = "SELECT * FROM news WHERE id='".$id."'";
$result = mysql_query($sql, $conn) or die(mysql_error());
//第二条sql语句id参数没有单引号保护
$sql2 = "SELECT * FROM news WHERE id=".$id;
$result2 = mysql_query($sql2, $conn) or die(mysql_error());
?>

第一条sql语句有单引号保护,第二条sql语句没有了单引号保护从而可以进一步注入。构造获取管理员账户密码的POC:http://localhost/sqltest/mangdian/int3.php?id=0 union select 1,2,concat(name,0x23,pass) from admin%23
代码审计5-3

0x04 数组类型,全局防护只过滤了value/key,未过滤代入查询 全局防护的代码只对数组中的vaule进行了过滤,key未过滤引发注入,全局防护缺陷代码:
<?php
if (!empty($_GET))
{
$_GET=Add_S($_GET);
}
if (!empty($_POST))
{
$_POST=Add_S($_POST);
}
if (!empty($_COOKIE))
{
$_COOKIE=Add_S($_COOKIE);
}function Add_S($array){
foreach($array as $key=>$value){
if(!is_array($value)){
$value=str_replace("&#x","& # x",$value);         //过滤一些不安全字符
$value=preg_replace("/eval/i","eva l",$value);      //过滤不安全函数
!get_magic_quotes_gpc() && $value=addslashes($value);
$array[$key]=$value;
}else{
$array[$key]=Add_S($array[$key]);
}
}
return $array;
}
可以看到,对GET、POST和COOKIE传递的数组参数只过滤了value,忽视了key,漏洞代码如下:

<?php
require_once('commonnew.php');
$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
$title = isset($_POST['title']) ? $_POST['title']: 1;
foreach($title as $key=>$value){
$sql = "SELECT * FROM news WHERE id='".$key."' and title='".$value."'";
$result = mysql_query($sql, $conn) or die(mysql_error());
}
?>

虽然查询语句中WHERE id=’”.$key.”‘有单引号保护,但是全局防护代码就没过滤key就存在注入了,首先POST请求下:http://localhost/sqltest/mangdian/array.php title[1]=news title发现可以获取正常内容:

代码审计5-4

查询语句为:SELECT * FROM news WHERE id=’1’ and title=’news title’
构造获取管理员账户密码的POST请求:http://localhost/sqltest/mangdian/array title[-1’ union select 1,2,concat(name,0x23,pass) from admin#]=news title

代码审计5-5

0x05 SERVER变量未过滤

上面的全局防护只过滤了GET、POST和COOKIE而忽略了SERVER变量,SERVER变量的注入常常发生在获取用户ip并入库的函数上,类似如下代码:
//获取访问者IP(PHP代码/函数)
function get_ip(){
if(getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"),"unknown")){
$ip=getenv("HTTP_CLIENT_IP");
}else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"),"unknown")){
$ip=getenv("HTTP_X_FORWARDED_FOR");
}else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"),"unknown")){
$ip=getenv("REMOTE_ADDR");
}else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'],"unknown")){
$ip=$_SERVER['REMOTE_ADDR'];
}else{
$ip="unknown" ;
}
return $ip;
}
通过$_SERVER变量获取客户端ip且可以通过X_FORWARDED_FOR伪造,然后这里对X_FORWARDED_FOR是没有任何正则处理的,所以可以构造注入语句,缺陷代码如下:
<?php
require_once('common.php');
$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
$id = get_ip();
$sql = "SELECT * FROM news WHERE id='".$id."'";;
$result = mysql_query($sql, $conn) or die(mysql_error());?>

 

这里可以在请求中添加获取管理员账户密码的POC为 X-Forwarded-For:-1’ union select 1,2,concat(name,0x23,pass) from admin#,由于SERVER变量没过滤所以这里单引号保护也就没用了。成功获取管理员账户密码如下:

代码审计5-6

原创文章,转载请注明: 转载自安兔|anntoo.com 互联网安全新媒体平台

本文链接地址: 代码审计的艺术系列—第五篇

煜铭2011
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码审计脑图
03-13
学php代码审计,算是一个笔记。留着以后看。 php代码审计需要比较强的代码能力以及足够的耐心.....
50:代码审计-PHP无框架项目SQL注入挖掘技巧
mingyqf的博客
01-13 699
代码审计思维导图: 代码审计简介: **教学计划:**审计项目漏洞Demo->审计思路->完整源码框架->验证并利用漏洞 **教学内容:**PHP,JAVA网站应用,引入框架类开发源码,相关审计工具及插件使用 **必备知识点:**环境安装搭建使用,相关工具插件安装使用,掌握前期各种漏洞原理及利用 **开始前准备:**审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等 **挖掘漏洞根本:**可控变量及特定函数,不存在过滤或过滤不严谨存在绕过导致的安全漏洞 漏洞
代码审计艺术系列—第六篇
煜铭2011
07-24 920
0x00前言: 作者:HackBraid,乌云核心白帽子。真名李斌,现汽车之家高级安全工程师。就职于奇虎360多年,熟悉代码审计、渗透测试等Web安全领域。白帽子分享之代码审计艺术系列(二、三、四季)是对绕过全局防护的场景进行的总结。没看前几季的同学,可以关注下。代码审计艺术系列—第一篇代码审计艺术系列—第二篇代码审计艺术系列—第三篇代码审计艺术系列—第四篇代码审计艺术系列—第五篇接
代码审计思路详解
Ciyaso的博客
04-30 6962
代码审计概念 代码审计定义 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。软件代码审计是对编程项目中源代码的全面分析,旨在发现错误,安全漏洞或违反编程约定。 它是防御性编程范例的一个组成部分,它试图在软件发布之前减少错误。 代码审计对象 php,java,C/C++,C#,jsp,asp,net等等 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-j7f2PGUd-1619771792539)(C:\Users\ASUS\App
php代码审计思维导图,利用思维导图快速读懂框架和理清思路之禅道
weixin_35682082的博客
03-21 389
偶尔会收到邮件、微博还有博客来咨询,说在代码审计的时候总感觉程序比较乱,读不懂框架,理不清思路,发现了一段漏洞代码,但是不知道怎么去找到漏洞利用点(请求哪个URL、提交什么数据),这是因为你对这套程序的大框架还不够熟悉,对程序执行流程理解不透彻。既然这么多人反馈,那我就简单说一下我的方式:利用思维导图。思维导图是个很好的东西,我在思考各种事情、写复杂程序等等各种场景都会用上这个东西,当然代码审计的...
Java代码审计(入门篇).pdf
10-21
Java代码审计(入门篇) 本书《Java代码审计(入门篇)》是一本系统、全面、实战的Java代码审计入门图书,旨在帮助Java开发人员快速掌握Java代码安全审计技巧。全书从浅入深地介绍了Java代码审计的流程、Java Web...
Seay源代码审计工具
08-10
Seay官方版是一款专业的Seay源代码审计工具。Seay源代码审计系统最新版支持一键自动审计、函数查询、代码高亮编辑器等功能,可以帮助用户随时审查源代码,及时发现问题。通过Seay源代码审计系统用户可以自定义审计...
[ 代码审计篇资源 ] SQL 注入案例源码
12-25
[ 代码审计篇资源 ] eclipse_64绿色版免安装 [ 代码审计篇 ] 代码审计案例详解中讲到的知识点最好还是自己搭建环境实践一下。 详情可以看我的文章:[ 代码审计篇 ] 代码审计案例详解(一) SQL注入代码审计案例
代码审计标准方案.pdf
12-01
5. **代码审计项说明** - **业务功能安全** 关注的是软件的核心功能是否安全,例如: - **数据清洗**:确保输入数据经过有效验证,防止SQL注入等攻击。 - **数据加密与保护**:对敏感信息进行加密,保护用户隐私...
Seay源代码审计.exe
12-16
Seay源代码审计.exe
思维导图-HTML+CSS+JS+PHP
02-21
无论是做产品还是做设计,我们都需要清晰的思路,明确自己需要做些什么,最后需要达到什么效果,这时候,如果有一张清晰的思维导图,就能很快的理清自己的思路。 这里就整理有HTML以及PHP相关知识的思维导图。
java代码审计思维导图_代码审计-MetInfo 6.0.0 sql注入漏洞
weixin_35925956的博客
02-28 238
首先漏洞存在于app\system\message\web\message.class.php文件中,变量{$_M[form][id]}直接拼接在SQL语句中,且验证码检测函数是在SQL语句查询之后,这也就造成了我们可以无视验证码检测函数,进行SQL注入。具体问题函数代码如下:$met_fd_ok=DB::get_one("select * from {$_M[table][config]} wh...
【安全思维导图】————1、PHP代码审计
Fly_鹏程万里
03-11 1063
php代码审计脑图,《代码审计》读书笔记
weixin_29159711的博客
04-07 180
PHP核心配置文件:1.register_globals=Off(全局变量注册开关)2.allow_url_include=Off(是否允许包含远程文件)与此类似的还有allow_url_fopen3.magic_quotes_gpc=On(魔术引号自动过滤)会自动在单引号、双引号、反斜杠、空字节(NULL)的前面加上反斜,但是在PHP5中不会过滤$SERVER变量所以可以利用client-ip、...
很不错的代码审计脑图
不良人的专栏
03-20 777
很不错的脑图,乌云大神的杰作,以后可以照着学习咯
代码审计[java安全编程]
0x00的博客
06-27 8733
SQL注入 介绍 注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql注入漏洞则是程序将用户输入数据拼接到了sql语句中,从而攻击者即可构造、改变sql语义从而进行攻击。 漏洞示例一:直接通过拼接sql @RequestMapping("/SqlInjection/{id}") public...
定义变量时无引号,单引号,双引号区别与特点:
weixin_33857679的博客
01-03 1163
a=192a=192-$ab='192-$a'c="192-$a" echo "a=$a"echo "b=$b"echo "c=$c" 输出结果如下: a=192-192b=192-$ac=192-192-192 第一种定义a变量的方式是不加任何引号直接定义变量的内容,当内容为简单连续的数字、字符串、路径名时,可以这样用。第二种定义b变量的方式是通过单引号定义。这种方式的特点是:输出变量内...
代码审计艺术系列—第三篇
煜铭2011
07-24 969
0x01 前言 非常感谢白帽子HackBraid同学一直坚持分享。:)接下来的时间交给HackBraid。 接白帽子分享之代码艺术系列-第三篇,主要是一些函数的错误使用会引发SQL注入的场景以及二次注入漏洞产生的原因。如果没看之前的内容,建议先看看前两篇。:) 代码审计艺术系列—第一篇 白帽子分享之代码艺术系列—第二篇 0x02 准备 知识储备:php基础、MySql入门 工具
代码审计艺术系列—第一篇
煜铭2011
07-24 1115
0x01 前言 301:安全技术系列的文章还是啦,先会从一些初级的内容开始。:)近几年随着web安全人才的升级,越来越多的安全研究人员投入到php应用的漏洞挖掘,相应的代码安全问题也被大量的披露出来。身处这个时代,我有幸见识到身边白帽子不断寻求突破并丰富和完善了代码审计这个概念,时至今日笔者总结了一套基础的审计方法,厚着脸皮取名为代码审计艺术,希望能够帮助新人更好的认识和进入这一领域。 0x
java代码审计 入门篇
最新发布
08-24
对于Java代码审计,入门篇的几个重点包括: 1. 熟悉Java语言和开发框架:了解Java的基础知识和常见的开发框架,如Spring、Struts等。掌握Java的语法、面向对象编程、异常处理等内容。 2. 学习安全编码规范:掌握常见...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值