0x01 背景

现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。二次注入也是一种比较常见的注入,它涉及到入库和出库。因为有全局转义所以入库的时候:

Insert into table (username) values (‘hack\’’);

这样入库后转义符就会消失变成了hack’,这样如果hack’出库被带入查询的话就会成功的引入了单引号导致注入。
漏洞来源于乌云:http://www.wooyun.org/bugs/wooyun-2014-068362

0x02 环境搭建

看背景我们使用了低版本的74cms程序,版本为3.4(20140310)
①源码网上可以搜到,我打包了一份:http://pan.baidu.com/s/1c1mLCru
②解压到www的74cms(20140310)目录下,浏览器访问http://localhost/74cms(20140310)),然后按照提示一步步安装即可,安装遇到问题请自行百度或谷歌,成功后访问如下图:

0x03 漏洞分析

Part1:源码结构

源码的结构比较清晰,应该是审计过最清晰的结构了,主要有下面三块内容:

index.php引入了common.inc.php文件,我们跟进common.inc.php,发现了处理gpc的函数:

<?php
if (!empty($_GET))
{
    $_GET  = addslashes_deep($_GET);
}
if (!empty($_POST))
{
    $_POST = addslashes_deep($_POST);
}
$_COOKIE   = addslashes_deep($_COOKIE);
$_REQUEST  = addslashes_deep($_REQUEST);

可以看到,服务端处理GET和POST请求的变量时都会做addslashes处理。

Part2:审计过程

1.首先在个人发布简历处:

elseif ($act == 'make4_save') {
    $resume_education = get_resume_education($_SESSION['uid'], $_REQUEST['pid']);
    if (count($resume_education) >= 6) showmsg('教育经历不能超过6条!', 1, $link);
    $setsqlarr['uid'] = intval($_SESSION['uid']);
    $setsqlarr['pid'] = intval($_REQUEST['pid']);
    if ($setsqlarr['uid'] == 0 || $setsqlarr['pid'] == 0) showmsg('参数错误!', 1);
    $setsqlarr['start'] = trim($_POST['start']) ? $_POST['start'] : showmsg('请填写开始时间!', 1, $link);
    $setsqlarr['endtime'] = trim($_POST['endtime']) ? $_POST['endtime'] : showmsg('请填写结束时间!', 1, $link);
    $setsqlarr['school'] = trim($_POST['school']) ? $_POST['school'] : showmsg('请填写学校名称!', 1, $link);
    $setsqlarr['speciality'] = trim($_POST['speciality']) ? $_POST['speciality'] : showmsg('请填写专业名称!', 1, $link);
    $setsqlarr['education'] = trim($_POST['education']) ? $_POST['education'] : showmsg('请选择获得学历!', 1, $link);
    $setsqlarr['education_cn'] = trim($_POST['education_cn']) ? $_POST['education_cn'] : showmsg('请选择获得学历!', 1, $link);
    //看到这里有个插入表“qs_resume_education”的操作,将教育背景相关的字段入库
    if (inserttable(table('resume_education'), $setsqlarr)) {
        check_resume($_SESSION['uid'], intval($_REQUEST['pid']));

2.这里看到insert入库了,可以尝试加个单引号,入库后就会消除转义字符。我们先继续跟进inserttables后的check_resume函数

//检查简历的完成程度
function check_resume($uid, $pid)
{
    global $db, $timestamp, $_CFG;
    $uid = intval($uid);
    $pid = intval($pid);
    $percent = 0;
    $resume_basic = get_resume_basic($uid, $pid);
    $resume_intention = $resume_basic['intention_jobs'];
    $resume_specialty = $resume_basic['specialty'];
    //获取教育经历,出数据库了
    $resume_education = get_resume_education($uid, $pid);
    if (!empty($resume_basic)) $percent = $percent + 15;
    if (!empty($resume_intention)) $percent = $percent + 15;
    if (!empty($resume_specialty)) $percent = $percent + 15;
    if (!empty($resume_education)) $percent = $percent + 15;
    if ($resume_basic['photo_img'] && $resume_basic['photo_audit'] == "1" && $resume_basic['photo_display'] == "1") {
        $setsqlarr['photo'] = 1;
    } else {
        $setsqlarr['photo'] = 0;
    }
    if ($percent < 60) {
        $setsqlarr['complete_percent'] = $percent;
        $setsqlarr['complete'] = 2;
    } else {
        $resume_work = get_resume_work($uid, $pid);
        $resume_training = get_resume_training($uid, $pid);
        $resume_photo = $resume_basic['photo_img'];
        if (!empty($resume_work)) $percent = $percent + 13;
        if (!empty($resume_training)) $percent = $percent + 13;
        if (!empty($resume_photo)) $percent = $percent + 14;
        $setsqlarr['complete'] = 1;
        $setsqlarr['complete_percent'] = $percent;
        require_once(QISHI_ROOT_PATH . 'include/splitword.class.php');
        $sp = new SPWord();
        $setsqlarr['key'] = $resume_basic['intention_jobs'] . $resume_basic['recentjobs'] . $resume_basic['specialty'];
        $setsqlarr['key'] = "{$resume_basic['fullname']} " . $sp->extracttag($setsqlarr['key']);
        $setsqlarr['key'] = str_replace(",", " ", $resume_basic['intention_jobs']) . " {$setsqlarr['key']} {$resume_basic['education_cn']}";
        $setsqlarr['key'] = $sp->pad($setsqlarr['key']);
        if (!empty($resume_education)) {
            //遍历教育经历所有字段,加入到数组里
            foreach ($resume_education as $li) {
                $setsqlarr['key'] = "{$li['school']} {$setsqlarr['key']} {$li['speciality']}";
            }
        }
        $setsqlarr['refreshtime'] = $timestamp;
    }
    //这里对教育经历做了次更新操作,二次注入由此产生!
    updatetable(table('resume'), $setsqlarr, "uid='{$uid}' AND id='{$pid}'");
    updatetable(table('resume_tmp'), $setsqlarr, "uid='{$uid}' AND id='{$pid}'");

3.我们填写一份简历简单试验下,在教育经历处学校名称字段填写aa’

保存后发现报错语句:

0x04 漏洞证明

构造获取数据库用户相关信息的POC:

查看简历发现简历姓名变成了root@localhost:

查看sql语句发现更新语句是成功执行的:

最后,有兴趣的同学可以继续获取其它的管理员账户等相关字段的信息。

原文链接:http://www.cnbraid.com/2016/02/19/sql3/,如需转载请联系作者。

【PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入的更多相关文章

  1. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 5.全局防护Bypass之宽字节注入

    0x01 背景 首先我们了解下宽字节注入,宽字节注入源于程序员设置MySQL连接时错误配置为:set character_set_client=gbk,这样配置会引发编码转换从而导致的注入漏洞.具体原 ...

  2. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.同上一篇,我 ...

  3. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

    0x01 背景 现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号.遇到这种情况 ...

  4. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 6.全局防护Bypass之一些函数的错误使用

    0x01 背景 PHP程序员在开发过程中难免会使用一些字符替换函数(str_replace).反转义函数(stripslashes),但这些函数使用位置不当就会绕过全局的防护造成SQL注入漏洞. 0x ...

  5. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 8.全局防护盲点的总结下篇

    0x01 背景 现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启,然后使用addlashes函数对单引号等特殊字符进行转义.但仅仅使用这样的防护是存在很多盲点的,接上篇http://www ...

  6. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 7.全局防护盲点的总结上篇

    0x01 背景 现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启,然后使用addlashes函数对单引号等特殊字符进行转义.但仅仅使用这样的防护是存在很多盲点的,比如最经典的整型参数传递, ...

  7. PHP代码审计】 那些年我们一起挖掘SQL注入 - 1.什么都没过滤的入门情况

    0x01 背景 首先恭喜Seay法师的力作<代码审计:企业级web代码安全架构>,读了两天后深有感触.想了想自己也做审计有2年了,决定写个PHP代码审计实例教程的系列,希望能够帮助到新人更 ...

  8. 【PHP代码审计】 那些年我们一起挖掘SQL注入 - 1.什么都没过滤的入门情况

    0x01 背景 首先恭喜Seay法师的力作<代码审计:企业级web代码安全架构>,读了两天后深有感触.想了想自己也做审计有2年了,决定写个PHP代码审计实例教程的系列,希望能够帮助到新人更 ...

  9. COMMENT SQL二次注入

    这题目太顶了进去随便发个贴,出现登录已经提示用户名和密码了,弱密码登录(得自己去爆破)zhangwei666即可 没啥思路,扫下目录试试,kali的dirb扫到.git泄露githacker得到源码看 ...

随机推荐

  1. [POJ] #1008# Maya Calendar : 字符处理/同余问题

    一. 题目 Maya Calendar Time Limit: 1000MS   Memory Limit: 10000K Total Submissions: 74085   Accepted: 2 ...

  2. dom div移动解决停顿问题

    <!doctype html> <html> <head> <meta charset="utf-8"> <title> ...

  3. datagrid url json

    <div class="easyui-accordion" style="width:500px;height:300px;"> <div t ...

  4. how to javafx hide background header of a tableview?

    http://stackoverflow.com/questions/12324464/how-to-javafx-hide-background-header-of-a-tableview ———— ...

  5. MYSQL数据库性能调优之七:其他(读写分离、分表等)

    一.分表 水平划分 垂直划分 二.读写分离 三.选择合理的数据类型 特别是主键 四.文件.图片等大文件使用文件系统存储 五.数据库参数配置 注意:max_connections最大连接数一般设置在10 ...

  6. cvc-elt.1: Cannot find the declaration of element 'beans'

    @(编程) 现象描述 导入的一个eclipse项目报错,各种方法都无法解决,报错信息如下: cvc-elt.1: Cannot find the declaration of element 'bea ...

  7. oracle常见小问题解答ORA-01008,ORA-01036

    第一个问题,参数传的空值,需要检查参数们有没有空值的情况 第二个问题,与MSSQL不同的是,.net使用参数化调用oracle不加@加的是:,然后在参数化语句里面可以省略:冒号,如果不这么写,就会出现 ...

  8. Oracle日志文件管理与查看

    Oracle日志文件管理与查看 from:http://hi.baidu.com/shuker/item/25ee611ee960c7426826bb1f 1.查询系统使用的是哪一组日志文件: sel ...

  9. UVaLive 7500 Boxes and Balls (数学)

    题意:给定 n 个球,每次从每篮子里拿出来一个放在一个新篮子里,并移除相同的,按球的个数进行排序,问你用最多几个球能完成循环. 析:数学问题,很容易发现前n项和就是最多的球数,所以我们只要找最大的n项 ...

  10. Jquery基础:append、prepend、after、before、appendTo的区别

    append() 是在被选元素的结束标签前面(即改被选元素的内部)插入指定内容. after() 是在被选元素的结束标签后面(即该被选元素的外部)插入指定的内容. appendTo() 仍然是在被选元 ...