【PHP代码审计实例教程】SQL注入-4.全局防护Bypass之二次注入-php教程

作者：上帝的宝贝1 | 来源：互联网 | 2017-05-14 01:33

【PHP代码审计实例教程】SQL注入-4.全局防护Bypass之二次注入

0x01 背景

现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。二次注入也是一种比较常见的注入，它涉及到入库和出库。因为有全局转义所以入库的时候：

Insert into table (username) values (‘hack\’’);

这样入库后转义符就会消失变成了hack’，这样如果hack’出库被带入查询的话就会成功的引入了单引号导致注入。

漏洞来源于乌云：

http://www.wooyun.org/bugs/wooyun-2014-068362

0x02 环境搭建

看背景我们使用了低版本的74cms程序，版本为3.4（20140310）

①源码网上可以搜到，我打包了一份： http://pan.baidu.com/s/1c1mLCru

②解压到www的74cms(20140310)目录下，浏览器访问http://localhost/74cms(20140310))，然后按照提示一步步安装即可，安装遇到问题请自行百度或谷歌，成功后访问如下图：

0x03 漏洞分析

Part1:源码结构

源码的结构比较清晰，应该是审计过最清晰的结构了，主要有下面三块内容：

index.php引入了common.inc.php文件，我们跟进common.inc.php，发现了处理gpc的函数:

if (!empty($_GET)){$_GET  = addslashes_deep($_GET);}if (!empty($_POST)){$_POST = addslashes_deep($_POST);}$_COOKIE   = addslashes_deep($_COOKIE);$_REQUEST  = addslashes_deep($_REQUEST);

可以看到，服务端处理GET和POST请求的变量时都会做addslashes处理。

Part2:审计过程

1.首先在个人发布简历处：

elseif ($act=='make4_save'){$resume_education=get_resume_education($_SESSION['uid'],$_REQUEST['pid']);if (count($resume_education)>=6) showmsg('教育经历不能超过6条！',1,$link);$setsqlarr['uid']=intval($_SESSION['uid']);$setsqlarr['pid']=intval($_REQUEST['pid']);if ($setsqlarr['uid']==0 || $setsqlarr['pid']==0 ) showmsg('参数错误！',1);$setsqlarr['start']=trim($_POST['start'])?$_POST['start']:showmsg('请填写开始时间！',1,$link);$setsqlarr['endtime']=trim($_POST['endtime'])?$_POST['endtime']:showmsg('请填写结束时间！',1,$link);$setsqlarr['school']=trim($_POST['school'])?$_POST['school']:showmsg('请填写学校名称！',1,$link);$setsqlarr['speciality']=trim($_POST['speciality'])?$_POST['speciality']:showmsg('请填写专业名称！',1,$link);$setsqlarr['education']=trim($_POST['education'])?$_POST['education']:showmsg('请选择获得学历！',1,$link);$setsqlarr['education_cn']=trim($_POST['education_cn'])?$_POST['education_cn']:showmsg('请选择获得学历！',1,$link);    //看到这里有个插入表“qs_resume_education”的操作，将教育背景相关的字段入库    if (inserttable(table('resume_education'),$setsqlarr))    {        check_resume($_SESSION['uid'],intval($_REQUEST['pid']));

2.这里看到insert入库了，可以尝试加个单引号，入库后就会消除转义字符。我们先继续跟进inserttables后的check_resume函数

//检查简历的完成程度function check_resume($uid,$pid){global $db,$timestamp,$_CFG;$uid=intval($uid);$pid=intval($pid);$percent=0;$resume_basic=get_resume_basic($uid,$pid);$resume_intention=$resume_basic['intention_jobs'];$resume_specialty=$resume_basic['specialty'];//获取教育经历，出数据库了$resume_education=get_resume_education($uid,$pid);if (!empty($resume_basic))$percent=$percent+15;if (!empty($resume_intention))$percent=$percent+15;if (!empty($resume_specialty))$percent=$percent+15;if (!empty($resume_education))$percent=$percent+15;if ($resume_basic['photo_img'] && $resume_basic['photo_audit']=="1"  && $resume_basic['photo_display']=="1"){$setsqlarr['photo']=1;}else{$setsqlarr['photo']=0;}if ($percent<60){    $setsqlarr['complete_percent']=$percent;    $setsqlarr['complete']=2;}else{    $resume_work=get_resume_work($uid,$pid);    $resume_training=get_resume_training($uid,$pid);    $resume_photo=$resume_basic['photo_img'];    if (!empty($resume_work))$percent=$percent+13;    if (!empty($resume_training))$percent=$percent+13;    if (!empty($resume_photo))$percent=$percent+14;    $setsqlarr['complete']=1;    $setsqlarr['complete_percent']=$percent;    require_once(QISHI_ROOT_PATH.'include/splitword.class.php');    $sp = new SPWord();    $setsqlarr['key']=$resume_basic['intention_jobs'].$resume_basic['recentjobs'].$resume_basic['specialty'];            $setsqlarr['key']="{$resume_basic['fullname']} ".$sp->extracttag($setsqlarr['key']);    $setsqlarr['key']=str_replace(","," ",$resume_basic['intention_jobs'])." {$setsqlarr['key']} {$resume_basic['education_cn']}";    $setsqlarr['key']=$sp->pad($setsqlarr['key']);        if (!empty($resume_education))    {        //遍历教育经历所有字段，加入到数组里        foreach($resume_education as $li)        {        $setsqlarr['key']="{$li['school']} {$setsqlarr['key']} {$li['speciality']}";        }    }    $setsqlarr['refreshtime']=$timestamp;}//这里对教育经历做了次更新操作，二次注入由此产生！updatetable(table('resume'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'");updatetable(table('resume_tmp'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'");

3.我们填写一份简历简单试验下，在教育经历处学校名称字段填写aa’

保存后发现报错语句：

0x04 漏洞证明

构造获取数据库用户相关信息的POC：

查看简历发现简历姓名变成了root@localhost:

查看sql语句发现更新语句是成功执行的：

最后，有兴趣的同学可以继续获取其它的管理员账户等相关字段的信息。

原文地址：

http://www.cnbraid.com/2016/02/19/sql3/

推荐阅读

百度
延迟注入工具（python）的SQL脚本

本文介绍了一个延迟注入工具（python）的SQL脚本，包括使用urllib2、time、socket、threading、requests等模块实现延迟注入的方法。该工具可以通过构造特定的URL来进行注入测试，并通过延迟时间来判断注入是否成功。 ... [详细]

蜡笔小新 2023-12-12 10:36:42
百度
分享css中提升优先级属性!important的用法总结

web前端|css教程css!importantweb前端-css教程本文分享css中提升优先级属性!important的用法总结微信门店展示源码,vscode如何管理站点,ubu ... [详细]

蜡笔小新 2023-12-11 11:25:16
百度
介绍一个免费的具备数据显示/录入/更新/删除功能的asp.net控件

本文介绍了一个免费的asp.net控件，该控件具备数据显示、录入、更新、删除等功能。它比datagrid更易用、更实用，同时具备多种功能，例如属性设置、数据排序、字段类型格式化显示、密码字段支持、图像字段上传和生成缩略图等。此外，它还提供了数据验证、日期选择器、数字选择器等功能，以及防止注入攻击、非本页提交和自动分页技术等安全性和性能优化功能。最后，该控件还支持字段值合计和数据导出功能。总之，该控件功能强大且免费，适用于asp.net开发。 ... [详细]

蜡笔小新 2023-12-11 09:41:26
百度
揭秘阿里云WAF背后神秘的AI智能防御体系

背景应用安全领域，各类攻击长久以来都危害着互联网上的应用，在web应用安全风险中，各类注入、跨站等攻击仍然占据着较前的位置。WAF(Web应用防火墙)正是为防御和阻断这类攻击而存在 ... [详细]

蜡笔小新 2023-12-11 01:30:52
百度
互联网思维中的3个段子，9大分类和19条法则

本文介绍了互联网思维中的三个段子，涵盖了餐饮行业、淘品牌和创业企业的案例。通过这些案例，探讨了互联网思维的九大分类和十九条法则。其中包括雕爷牛腩餐厅的成功经验，三只松鼠淘品牌的包装策略以及一家创业企业的销售额增长情况。这些案例展示了互联网思维在不同领域的应用和成功之道。 ... [详细]

蜡笔小新 2023-12-10 14:58:10
int
SQL日志收缩及截断方法详解

本文详细介绍了SQL日志收缩的方法，包括截断日志和删除不需要的旧日志记录。通过备份日志和使用DBCC SHRINKFILE命令可以实现日志的收缩。同时，还介绍了截断日志的原理和注意事项，包括不能截断事务日志的活动部分和MinLSN的确定方法。通过本文的方法，可以有效减小逻辑日志的大小，提高数据库的性能。 ... [详细]

蜡笔小新 2023-12-14 18:23:25
perl
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
int
如何在php中将mysql查询结果赋值给变量

本文介绍了在php中将mysql查询结果赋值给变量的方法，包括从mysql表中查询count(学号)并赋值给一个变量，以及如何将sql中查询单条结果赋值给php页面的一个变量。同时还讨论了php调用mysql查询结果到变量的方法，并提供了示例代码。 ... [详细]

蜡笔小新 2023-12-12 18:22:57
int
SpringMVC接收请求参数的方式总结

本文总结了在SpringMVC开发中处理控制器参数的各种方式，包括处理使用@RequestParam注解的参数、MultipartFile类型参数和Simple类型参数的RequestParamMethodArgumentResolver，处理@RequestBody注解的参数的RequestResponseBodyMethodProcessor，以及PathVariableMapMethodArgumentResol等子类。 ... [详细]

蜡笔小新 2023-12-11 19:55:40
int
如何提高PHP编程技能及推荐高级教程

本文介绍了如何提高PHP编程技能的方法，推荐了一些高级教程。学习任何一种编程语言都需要长期的坚持和不懈的努力，本文提醒读者要有足够的耐心和时间投入。通过实践操作学习，可以更好地理解和掌握PHP语言的特异性，特别是单引号和双引号的用法。同时，本文也指出了只走马观花看整体而不深入学习的学习方式无法真正掌握这门语言，建议读者要从整体来考虑局部，培养大局观。最后，本文提醒读者完成一个像模像样的网站需要付出更多的努力和实践。 ... [详细]

蜡笔小新 2023-12-11 18:38:37
int
嵌入式处理器的架构与内核发展历程

本文主要介绍了嵌入式处理器的架构与内核发展历程，包括不同架构的指令集的变化，以及内核的流水线和结构。通过对ARM架构的分析，可以更好地理解嵌入式处理器的架构与内核的关系。 ... [详细]

蜡笔小新 2023-12-11 15:38:57
int
Mybatis中#与$的区别及其作用详解

本文详细介绍了Mybatis中#与$的区别及其作用。#{}可以防止sql注入，拼装sql时会自动添加单引号，适用于单个简单类型的形参。${}则将拿到的值直接拼装进sql，可能会产生sql注入问题，需要手动添加单引号，适用于动态传入表名或字段名。#{}可以实现preparedStatement向占位符中设置值，自动进行类型转换，有效防止sql注入，提高系统安全性。 ... [详细]

蜡笔小新 2023-12-10 14:30:39
int
iOS开发中的内存泄漏检测和解决方法，以及最能挣钱的行业和选行业技巧

本文介绍了iOS开发中检测和解决内存泄漏的方法，包括静态分析、使用instruments检查内存泄漏以及代码测试等。同时还介绍了最能挣钱的行业，包括互联网行业、娱乐行业、教育行业、智能行业和老年服务行业，并提供了选行业的技巧。 ... [详细]

蜡笔小新 2023-12-09 10:07:05
int
【影评】大内密探灵灵狗

本文是对王晶执导的电影《大内密探灵灵狗》进行的影评。文章称赞了王晶的才华和导演经验，认为演员阵容强大，笑料不少，发明新奇又好笑。然而，编剧的表现被认为是本片的最大失败，宣传言过其实，笑点不多。总体来说，本片是一部典型的王式喜剧，可看性较高，但没有突破。 ... [详细]

蜡笔小新 2023-12-09 09:17:37
int
深入理解C语言05 语句

说到C语言的语句块，真是一堆血泪史。第一大坑就是优先级。刚工作那会儿，C的书没看几本，自信满满的认为C语言都会了，拿出搞ACM培养的豪情壮志，代码倒是写得爽，却到处留 ... [详细]

蜡笔小新 2023-10-17 21:30:36

上帝的宝贝1

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章