最近在看Web渗透与漏洞挖掘,这本书的编写目的感觉非常的不错,把渗透和代码审计结合在一起,但是代码审计部分感觉思路个人认为并不是很清晰,在学习dedecms v5.7 SQL注入的时候就只看懂了漏洞,思路依然感觉迷茫,在这里我重新梳理一下这个漏洞的挖掘思路。

  这个漏洞主要包括两方面,一是SQL注入本身,二是全局变量$GLOBALS可以被用户操控。拿到cms我们还是先浏览大致的结构,然后我们重点关注/include/dedesql.class.php文件,根据命名规则我们可以依据经验判断这是该cms的数据库连接配置文件。这个文件中有两个SQL执行语句,分别是ExecNoneQuery()和ExecNoneQuery2(),在ExecNoneQuery()中,该函数调用checksql()函数进行sql语句检查,我们继续阅读ExecNoneQuery2的代码:

 //执行一个返回影响记录条数的SQL语句,如update,delete,insert等

     function ExecuteNoneQuery2($sql='')

     {

         global $dsql;

         if(!$dsql->isInit)

         {

             $this->Init($this->pconnect);

         }

         if($dsql->isClose)

         {

             $this->Open(FALSE);

             $dsql->isClose = FALSE;

         }

         if(!empty($sql))

         {

             $this->SetQuery($sql);

         }

         if(is_array($this->parameters))

         {

             foreach($this->parameters as $key=>$value)

             {

                 $this->queryString = str_replace("@".$key,"'$value'",$this->queryString);

             }

         }

         $t1 = ExecTime();

         mysql_query($this->queryString,$this->linkID);

         //查询性能测试

         if($this->recordLog) {

             $queryTime = ExecTime() - $t1;

             $this->RecordLog($queryTime);

             //echo $this->queryString."--{$queryTime}<hr />\r\n";

         }

         return mysql_affected_rows($this->linkID);

     }

  很明显我们可以看出,这里并没有进行SQL语句安全性检查,所以我们要仔细检查该函数操控的文件或数据,我们全局搜索ExecuteNoneQuery2,发现/plus/download.php是由这个函数操控的,我们跟读这个文件,这个文件的主要功能是提供软件给用户下载,阅读以下代码:

 else if($open==1)

 {

     //更新下载次数

     $id = isset($id) && is_numeric($id) ? $id : 0;

     $link = base64_decode(urldecode($link));

     if ( !$link )

     {

         ShowMsg('无效地址','javascript:;');

         exit;

     }

     $hash = md5($link);

     $rs = $dsql->ExecuteNoneQuery2("UPDATE `#@__downloads` SET downloads = downloads + 1 WHERE hash='$hash' ");

     if($rs <= 0)

     {

         $query = " INSERT INTO `#@__downloads`(`hash`,`id`,`downloads`) VALUES('$hash','$id',1); ";

         $dsql->ExecNoneQuery($query);

     }

     $row = $dsql->GetOne("SELECT * FROM `#@__softconfig` ");

     $sites = explode("\n", $row['sites']);

     $allowed = array();

     foreach($sites as $site)

     {

         $site = explode('|', $site);

         $domain = parse_url(trim($site[0]));

         $allowed[] = $domain['host'];

     }

     if ( !in_array($linkinfo['host'], $allowed) )

     {

         ShowMsg('非下载地址,禁止访问','javascript:;');

         exit;

     }

     header("location:$link");

     exit();

 }

  这段代码的功能很好读,我们主要考虑两个细节,一是虽然没进行安全性检查,但是应该怎么绕过PGC;二是如何让这条SQL语句能为我所用。如果之前通读了/include/dedesql.class.php的代码,我们心中应该就有了答案,这个文件中有一个特殊操作:

 //设置SQL语句,会自动把SQL语句里的#@__替换为$this->dbPrefix(在配置文件中为$cfg_dbprefix)

     function SetQuery($sql)

     {

         $prefix="#@__";

         $sql = str_replace($prefix,$GLOBALS['cfg_dbprefix'],$sql);

         $this->queryString = $sql;

     }

 if(isset($GLOBALS['arrs1']))

 {

     $v1 = $v2 = '';

     for($i=0;isset($arrs1[$i]);$i++)

     {

         $v1 .= chr($arrs1[$i]);

     }

     for($i=0;isset($arrs2[$i]);$i++)

     {

         $v2 .= chr($arrs2[$i]);

     }

     $GLOBALS[$v1] .= $v2;

 }

  在这里以上两个问题已经全部解决,在提交SQL语句的时候程序使用了ASCII进行编码,直接绕过了GPC,arr1和arr2可以被用户操控任意修改。在代码的第五行,程序使用str_replace函数把SQL语句中的#@_替换为了$GLOBALS['cfg_dbprefix'],全局搜索$cfg_dbprefix发现在/include/commen.inc.php中:

$cfg_dbprefix = 'dede_';

  在代码的第21行,这里采用.=的方式拼接了$v1和$v2,.=的用法和+=一致,$a.=$b也就是$a=$a.$b,所以我们控制$v1为cfg_dbprefix,将$v2构造SQL语句:

admin` SET `userid`='test', `pwd`='565491d704013245' where id=1 #

  完整的SQL语句为:

UPDATE `dede_admin` SET `userid`='test', `pwd`='565491d704013245' where id=1 #_downloads` SET downloads = downloads + 1 WHERE hash='$hash'

  执行后用户名为test,密码为123456。

  这个漏洞的复现提醒了我,做代码审计通读核心文件的代码还是非常重要的,之前单纯的定位+跟读方法无法应对复杂的攻击,后面我会尽可能的多通读一下代码吧。

dedecms_5.7 download.php SQL注入的更多相关文章

  1. 个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范

    昨天本博客受到了xss跨站脚本注入攻击,3分钟攻陷--其实攻击者进攻的手法很简单,没啥技术含量.只能感叹自己之前竟然完全没防范. 这是数据库里留下的一些记录.最后那人弄了一个无限循环弹出框的脚本,估计 ...

  2. SQL注入技术专题—由浅入深【精华聚合】

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/23569276来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 不管用什么语言编写的Web应用 ...

  3. nginx服务器防sql注入/溢出攻击/spam及禁User-agents

    本文章给大家介绍一个nginx服务器防sql注入/溢出攻击/spam及禁User-agents实例代码,有需要了解的朋友可进入参考. 在配置文件添加如下字段即可  代码如下 复制代码 server { ...

  4. 总结了关于PHP xss 和 SQL 注入的问题(转)

    漏洞无非这么几类,XSS.sql注入.命令执行.上传漏洞.本地包含.远程包含.权限绕过.信息泄露.cookie伪造.CSRF(跨站请求)等.这些漏洞不仅仅是针对PHP语言的,本文只是简单介绍PHP如何 ...

  5. 我被SQL注入撞了一下腰

    网站的注入漏洞,应该说绝大多数做web开发的人都知道的事情.可是没想到从事6,7年开发工作的我,却会在这上栽了跟头,真是郁闷啊.心情很纠结,按照老婆的话,怎么感觉我像失恋了一样. 事情的起因还是在几个 ...

  6. array_slice()函数造成的一次sql注入

    HDwiki6.0 sql注入 下载连接http://kaiyuan.hoodong.com/download/ 漏洞出现在\control\edition.php的docompare()函数 !de ...

  7. 第一次靶场练习:SQL注入(1)

    SQL注入1 本文章目的是对相关的黑客内容进一步了解,如有人违反相关的法律法规,本人概不负责 一.学习目的: 利用手工注入网站 利用sqlmab注入 二.附件说明 靶场网址:http://117.41 ...

  8. SQL注入学习资料总结

    转载自:https://bbs.ichunqiu.com/thread-12105-1-1.html  什么是SQL注入 SQL注入基本介绍 结构化查询语言(Structured Query Lang ...

  9. 【代码审计】五指CMS_v4.1.0 copyfrom.php 页面存在SQL注入漏洞分析

      0x00 环境准备 五指CMS官网:https://www.wuzhicms.com/ 网站源码版本:五指CMS v4.1.0 UTF-8 开源版 程序源码下载:https://www.wuzhi ...

随机推荐

  1. Python中Opencv和PIL.Image读取图片的差异对比

    近日,在进行深度学习进行推理的时候,发现不管怎么样都得不出正确的结果,再仔细和正确的代码进行对比了后发现原来是Python中不同的库读取的图片数组是有差异的. image = np.array(Ima ...

  2. tfield的字段名和显示名

    unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms ...

  3. 使用py-faster-rcnn训练自己的数据集

    https://www.jianshu.com/p/a672f702e596 本文记录了在ubuntu16.04下使用py-faster-rcnn来训练自己的数据集的大致过程. 在此之前,已经成功配置 ...

  4. JavaScript学习总结(八)

    这一节结束,我们的JavaScript学习总结系列文章第一阶段就要结束了,今后会适当的补充一些高级的内容,敬请期待. 好了,废话不说进入这一节的学习. 联动框 联动框,实在是太常见了.比如淘宝,我们选 ...

  5. 基于springboot实现Ueditor并生成.html的示例

    一.项目架构 二.项目代码 1.HtmlProductController.java package com.controller; import java.io.File; import java. ...

  6. JDK的安装与环境变量配置

    1.下载JDK后安装,此处安装的是JDK8 2.安装后的路径如下图所示,JDK与JRE在同一个文件夹中 3.安装完JDK后配置环境变量  计算机→属性→高级系统设置→高级→环境变量 4.系统变量→新建 ...

  7. Python 中如何自动导入缺失的库?

    在写 Python 项目的时候,我们可能经常会遇到导入模块失败的错误:ImportError: No module named 'xxx'或者ModuleNotFoundError: No modul ...

  8. Python7DAY-基础语法.md

    # python简介 python交互器的作用:主要是是为了调试代码.

  9. ZJNU 1164 - 考试排名——中级

    1.如果一个单元为0,表示没做过这题,不计入成绩 2.如果一个单位为负数,表示做错了这题,不计入成绩 所以只要一个单元为正数(不论是否有括号)都说明做出了这一题,计入成绩 将名字和成绩都当作字符串读入 ...

  10. NATAPP内网穿透软件使用指南

    1.请求官网路径没有账号的注册,有账号的直接登录 https://natapp.cn 2.下载不同环境所需的启动文件,另存为不同目录 https://natapp.cn/#download --> ...