sql盲注如何修补_某团购CMS的SQL注入漏洞代码审计

作者&＃xff1a;会上树的猪 合天智汇

0x00 SQL注入漏洞&＃xff1a;

简单介绍一下SQL语句&＃xff1a;通俗来理解就是开发者盲目相信用户&＃xff0c;没有严格检查用户输入&＃xff0c;导致用户可以输入恶意参数进入程序逻辑&＃xff0c;最终拼接恶意参数改变原本的SQL语句逻辑&＃xff0c;造成SQL注入漏洞。

0x01 关于CMS

本次审计的CMS是基于Web应用的B/S架构的团购网站建设解决方案的建站系统&＃xff0c;它可以让用户高效、快速、低成本的构建个性化、专业化、强大功能的团购网站&＃xff0c;采用PHP和MYSQL数据库开发技术&＃xff0c;版本CV1.6。商业案例如下&＃xff1a;

审计结果实战测试&＃xff1a;

0x02 漏洞分析&＃xff1a;

首先在本地搭建一个网站&＃xff0c;方便之后测试&＃xff0c;一键安装也没啥说的&＃xff0c;跳过。重点讲讲这个团购CMS的SQL操作。这个团购CMS将SQL操作全部写到了include/library/DB.class.php文件&＃xff1a;

然后分析这个文件&＃xff0c;发现这里面的函数有些使用了&＃xff1a;mysql_real_escape_string函数对参数进行过滤&＃xff0c;整数参数就强制转换int类型

关于mysql_real_escape_string函数的注入可以尝试宽字节注入&＃xff0c;当数据库编码采用GBK的时候可以尝试bypass函数检查&＃xff0c;但是此处不适用。之后审计发现其中存在几个未对参数进行过滤直接执行SQL语句的函数&＃xff1a;GetDbRowById、GetQueryResult、GetField。

此处采用敏感函数回溯的方法进行审计&＃xff0c;先全局搜索这些函数&＃xff0c;然后想办法对达到触发条件。

1. 全局搜索GetField函数&＃xff0c;发现没有被引用的地方。

2、全局搜索GetQueryResult函数&＃xff0c;搜索结果比较多&＃xff0c;如下&＃xff1a;

先尝试审计第一处&＃xff1a;/ajax/manage.php&＃xff0c;如下&＃xff0c;如果存在&＃xff0c;可以通过$id变量进行注入。

追踪如何触发函数&＃xff1a;第490行&＃xff0c;当变量action满足条件即可&＃xff1a;

而继续回溯&＃xff0c;$action的来源$_GET:

同时也发现id变量被强制类型转换了&＃xff0c;哦豁&＃xff0c;这下安逸了&＃xff0c;这个点基本利用不了了。同时测试过程中此处还有一处调用了未过滤SQL函数&＃xff1a;

不过都用到了ID参数进行注入&＃xff0c;所以不能利用&＃xff0c;放弃。

之后选择其他可能存在的地方继续审计&＃xff1a;/manage/user/index.php

但是这两处同样存在intval参数过滤。

再继续搜索&＃xff0c;发现/manage/vote/feedback.php

此处$question[‘id’]参数来源于前一个查询结果&＃xff0c;可以考虑二次注入&＃xff0c;不过此处因为id参数为提交问卷时系统自动生成&＃xff0c;所以无法利用了。

最后两处调用这个函数的地方在DB.class.php中&＃xff1a;其中一个属于LimitQuery函数调用&＃xff0c;因为存在过滤&＃xff0c;所以利用比较困难&＃xff1a;

另外一处便是GetDbRowById调用&＃xff0c;此处不存在过滤&＃xff0c;可能存在注入&＃xff0c;这个审计便放到下一部分&＃xff1a;

1. 全局搜索GetDbRowById函数&＃xff1a;根据之前的审计&＃xff0c;函数本身没有对参数过滤&＃xff0c;其中调用的GetQueryResult函数也没有过滤&＃xff0c;可能存在SQL注入。

可以发现GetDbRowById函数在include/library/Table.class.php文件存在调用&＃xff1a;_Fetch函数和FetchForce函数

其中_Fetch函数在同类中的Fetch方法被调用&＃xff1a;

因此需要全局搜索Fetch函数和FetchForce函数&＃xff1a;

首先来搜索FetchForce函数&＃xff0c;结果如下&＃xff0c;还挺多的

首先要说的就是搜索的结果不一定全部存在注入&＃xff0c;需要再次寻找其中疏于过滤的点进行验证&＃xff0c;下面举几个栗子&＃xff1a;

文件&＃xff1a;/ajax/chargecard.php

不需要登录便可以直接访问这个文件&＃xff0c;当$action为query时可以调用函数&＃xff0c;且$secret不存在过滤&＃xff0c;开启debug调试跟踪参数的流程&＃xff1a;先输入secret&＃61;123’

可以看到对secret参数没有进行任何过滤便传入FetchForce函数&＃xff1a;

将存在恶意字符的参数拼接SQL语句&＃xff0c;造成SQL注入&＃xff0c;因为此处存在对空格等字符的正则匹配&＃xff0c;所以可以使用/**/代替空格。

因为此处不存在回显&＃xff0c;要使用盲注&＃xff0c;使用时间盲注验证&＃xff0c;一个用时2秒&＃xff0c;一个用时5秒

而且同文件下存在另外一处注入&＃xff1a;

这个地方用方法也差不多&＃xff0c;就改一下action参数便可以。

再举一个不存在注入的情况&＃xff1a;/ajax/manage.php

虽然调用了FetchForce函数&＃xff0c;但是溯源之后发现对id变量进行了强制转换&＃xff0c;因此属于不能利用的点。与此同时new.php也属于同理情况&＃xff1a;

同时如果继续搜索审计就能发现其他存在注入的点&＃xff1a;

其余的文件就不一一看了。

接下来查看Fetch函数&＃xff1a;搜索结果如下

先来看文件&＃xff1a;/ajax/system.php

不过这个地方应该是需要管理员登录的&＃xff0c;登录之后传参是这个亚子的&＃xff1a;

可以采用和之前相同的时间盲注&＃xff1a;

再看另外一处漏洞&＃xff1a;/api/call.php&＃xff0c;此处不需要任何登录&＃xff0c;可以在前台直接访问到文件&＃xff0c;而且其中多个参数存在注入&＃xff1a;

再之后很多便与上面的审计方法类似&＃xff0c;还存在可以利用的点&＃xff0c;也会存在许多无法利用的点&＃xff0c;就不一一写出来了。

上面这个注入点还找到一个案例&＃xff1a;

不过存在问题的便是这个CMS的密码加了一个固定字符串当作盐&＃xff0c;在解MD5时会存在困难。

0x03 总结&＃xff1a;

按照惯例&＃xff0c;来小结几句。

关于SQL注入的防御&＃xff0c;应该有很多方法了&＃xff0c;首先就是不信任用户输入&＃xff0c;严格过滤参数&＃xff0c;之后的话还可以使用预查询方案&＃xff0c;之后的话还可以使用软硬件防火墙。不过这些理论上都会存在bypass的情况&＃xff0c;不过我太菜&＃xff0c;不会bypass。

另外就是关于参数过滤&＃xff0c;如同上面&＃xff0c;执行参数过滤&＃xff0c;但是依然找到了漏网之鱼&＃xff0c;所以过滤策略某种情况下也是不可靠的。

最后就是关于代码审计了&＃xff0c;代码审计一时爽&＃xff0c;一直审计一直爽&＃xff0c;奥力给&＃xff01;&＃xff01;&＃xff01;

声明&＃xff1a;笔者初衷用于分享与普及网络知识&＃xff0c;若读者因此作出任何危害网络安全行为后果自负&＃xff0c;与合天智汇及原作者无关&＃xff01;