1. 计算机技术网首页
  2. web服务器教学教程
  3. 网站安全

那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入网站安全分享!

网站安全 阅读 0


现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。二次注入也是一种比较常见的注入,它涉及到入库和出库。因为有全局转义所以入库的时候:


现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。二次注入也是一种比较常见的注入,它涉及到入库和出库。因为有全局转义所以入库的时候:

Insert into table (username) values (‘hack’’);

这样入库后转义符就会消失变成了hack’,这样如果hack’出库被带入查询的话就会成功的引入了单引号导致注入。
那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入

看背景我们使用了低版本的74cms程序,版本为3.4(20140310)
①源码网上可以搜到,我打包了一份:https://pan.baidu.com/s/1c1mLCru
②解压到www的74cms(20140310)目录下,浏览器访问https://localhost/74cms(20140310)),然后按照提示一步步安装即可,安装遇到问题请自行百度或谷歌,成功后访问如下图:
那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入

Part1:源码结构

 

源码的结构比较清晰,应该是审计过最清晰的结构了,主要有下面三块内容:

 

那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入

index.php引入了common.inc.php文件,我们跟进common.inc.php,发现了处理gpc的函数:

 if (!empty($_GET)) { $_GET  = addslashes_deep($_GET); } if (!empty($_POST)) { $_POST = addslashes_deep($_POST); } $_COOKIE   = addslashes_deep($_COOKIE); $_REQUEST  = addslashes_deep($_REQUEST);

可以看到,服务端处理GET和POST请求的变量时都会做addslashes处理。

Part2:审计过程

1.首先在个人发布简历处:

 elseif ($act=='make4_save')  {  $resume_education=get_resume_education($_SESSION['uid'],$_REQUEST['pid']);    if (count($resume_education)>=6) showmsg('教育经历不能超过6条!',1,$link);  $setsqlarr['uid']=intval($_SESSION['uid']);  $setsqlarr['pid']=intval($_REQUEST['pid']);  if ($setsqlarr['uid']==0 || $setsqlarr['pid']==0 ) showmsg('参数错误!',1);  $setsqlarr['start']=trim($_POST['start'])?$_POST['start']:showmsg('请填写开始时间!',1,$link);  $setsqlarr['endtime']=trim($_POST['endtime'])?$_POST['endtime']:showmsg('请填写结束时间!',1,$link);  $setsqlarr['school']=trim($_POST['school'])?$_POST['school']:showmsg('请填写学校名称!',1,$link);  $setsqlarr['speciality']=trim($_POST['speciality'])?$_POST['speciality']:showmsg('请填写专业名称!',1,$link);  $setsqlarr['education']=trim($_POST['education'])?$_POST['education']:showmsg('请选择获得学历!',1,$link);  $setsqlarr['education_cn']=trim($_POST['education_cn'])?$_POST['education_cn']:showmsg('请选择获得学历!',1,$link);     //看到这里有个插入表“qs_resume_education”的操作,将教育背景相关的字段入库     if (inserttable(table('resume_education'),$setsqlarr))      {          check_resume($_SESSION['uid'],intval($_REQUEST['pid']));

 

2.这里看到insert入库了,可以尝试加个单引号,入库后就会消除转义字符。我们先继续跟进inserttables后的check_resume函数

 //检查简历的完成程度 function check_resume($uid,$pid) { global $db,$timestamp,$_CFG; $uid=intval($uid); $pid=intval($pid); $percent=0; $resume_basic=get_resume_basic($uid,$pid); $resume_intention=$resume_basic['intention_jobs']; $resume_specialty=$resume_basic['specialty']; //获取教育经历,出数据库了 $resume_education=get_resume_education($uid,$pid); if (!empty($resume_basic))$percent=$percent+15; if (!empty($resume_intention))$percent=$percent+15; if (!empty($resume_specialty))$percent=$percent+15; if (!empty($resume_education))$percent=$percent+15; if ($resume_basic['photo_img'] && $resume_basic['photo_audit']=="1"  && $resume_basic['photo_display']=="1") { $setsqlarr['photo']=1; } else { $setsqlarr['photo']=0; } if ($percent<60) {     $setsqlarr['complete_percent']=$percent;     $setsqlarr['complete']=2; } else {     $resume_work=get_resume_work($uid,$pid);     $resume_training=get_resume_training($uid,$pid);     $resume_photo=$resume_basic['photo_img'];     if (!empty($resume_work))$percent=$percent+13;     if (!empty($resume_training))$percent=$percent+13;     if (!empty($resume_photo))$percent=$percent+14;     $setsqlarr['complete']=1;     $setsqlarr['complete_percent']=$percent;     require_once(QISHI_ROOT_PATH.'include/splitword.class.php');     $sp = new SPWord();     $setsqlarr['key']=$resume_basic['intention_jobs'].$resume_basic['recentjobs'].$resume_basic['specialty'];             $setsqlarr['key']="{$resume_basic['fullname']} ".$sp->extracttag($setsqlarr['key']);     $setsqlarr['key']=str_replace(","," ",$resume_basic['intention_jobs'])." {$setsqlarr['key']} {$resume_basic['education_cn']}";     $setsqlarr['key']=$sp->pad($setsqlarr['key']);         if (!empty($resume_education))     {         //遍历教育经历所有字段,加入到数组里         foreach($resume_education as $li)         {         $setsqlarr['key']="{$li['school']} {$setsqlarr['key']} {$li['speciality']}";         }     }     $setsqlarr['refreshtime']=$timestamp; } //这里对教育经历做了次更新操作,二次注入由此产生! updatetable(table('resume'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'"); updatetable(table('resume_tmp'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'");

 

3.我们填写一份简历简单试验下,在教育经历处学校名称字段填写aa’
那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入
保存后发现报错语句:
那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入

构造获取数据库用户相关信息的POC:
那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入
查看简历发现简历姓名变成了[email protected]:
那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入
查看sql语句发现更新语句是成功执行的:
那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入
最后,有兴趣的同学可以继续获取其它的管理员账户等相关字段的信息。

 

www.dengb.comtruehttps://www.dengb.com/wzaq/1104957.htmlTechArticle那些年我们一起挖掘SQL注入之全局防护Bypass之二次注入 0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件…

—-想了解更多的网站安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>

本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。

ctvol管理联系方式QQ:251552304

本文章地址:https://www.ctvol.com/webstt/websy/94780.html

(0)
0
上一篇 2020年4月25日
下一篇 2020年4月25日

精彩推荐