0x01 Background
最近の WEB プログラムには、基本的に SQL インジェクション用のグローバル フィルタリングが備わっています。たとえば、PHP が GPC をオンにしたり、グローバル ファイル common.php で addslashes() 関数を使用したりします。パラメータ、特に一重引用符はフィルタリングされます。二次注入も比較的一般的な注入であり、倉庫への出入りが伴います。グローバルエスケープがあるため、データベースにログインするとき:
テーブル (ユーザー名) の値に挿入 ('hack'');
後このようにデータベースにログインすると、エスケープ文字が消えてhack'になるため、hack'がクエリに持ち込まれた場合、一重引用符が正常に導入されてインジェクションが発生します。
この脆弱性は Wuyun から来ています: http://www.wooyun.org/bugs/wooyun-2014-068362
0x02 環境設定
背景を見る 74cms プログラムの低バージョン、バージョン 3.4 (20140310) を使用しました
①ソース コードはオンラインで見つけることができ、コピーをパッケージ化しました: http://pan.baidu.com/s/1c1mLCru
②www の 74cms(20140310) ディレクトリに解凍し、ブラウザで http://localhost/74cms(20140310) にアクセスし、インストール中に問題が発生した場合は、プロンプトに従って段階的にインストールします。 、Baidu または Google を使用してください。アクセスに成功したら、次の図にアクセスしてください:
0x03 脆弱性分析
パート 1: ソース コードの構造
ソース コードの構造は比較的明確であり、これは私たちがこれまでに監査した中で最も明確な構造であり、主に次の 3 つの部分で構成されています。
index.php では common.inc.php が導入されています。 common.inc.php を追跡し、gpc を処理する関数を見つけました。
if (!empty($_GET)){$_GET = addslashes_deep($_GET);}if (!empty($_POST)){$_POST = addslashes_deep($_POST);}$_COOKIE = addslashes_deep($_COOKIE);$_REQUEST = addslashes_deep($_REQUEST); ご覧のとおり、サーバーは GET および POST リクエストで変数を処理するときに、addlashes 処理を実行します。 。
パート 2: 監査プロセス
1. まず履歴書を公開します:
elseif ($act=='make4_save'){$resume_education=get_resume_education($_SESSION['uid'],$_REQUEST['pid']);if (count($resume_education)>=6) showmsg('教育经历不能超过6条!',1,$link);$setsqlarr['uid']=intval($_SESSION['uid']);$setsqlarr['pid']=intval($_REQUEST['pid']);if ($setsqlarr['uid']==0 || $setsqlarr['pid']==0 ) showmsg('参数错误!',1);$setsqlarr['start']=trim($_POST['start'])?$_POST['start']:showmsg('请填写开始时间!',1,$link);$setsqlarr['endtime']=trim($_POST['endtime'])?$_POST['endtime']:showmsg('请填写结束时间!',1,$link);$setsqlarr['school']=trim($_POST['school'])?$_POST['school']:showmsg('请填写学校名称!',1,$link);$setsqlarr['speciality']=trim($_POST['speciality'])?$_POST['speciality']:showmsg('请填写专业名称!',1,$link);$setsqlarr['education']=trim($_POST['education'])?$_POST['education']:showmsg('请选择获得学历!',1,$link);$setsqlarr['education_cn']=trim($_POST['education_cn'])?$_POST['education_cn']:showmsg('请选择获得学历!',1,$link); //看到这里有个插入表“qs_resume_education”的操作,将教育背景相关的字段入库 if (inserttable(table('resume_education'),$setsqlarr)) { check_resume($_SESSION['uid'],intval($_REQUEST['pid'])); 2。データベースに一重引用符を追加すると、データベースへの入力後にエスケープ文字が削除されます。 inserttables
//检查简历的完成程度function check_resume($uid,$pid){global $db,$timestamp,$_CFG;$uid=intval($uid);$pid=intval($pid);$percent=0;$resume_basic=get_resume_basic($uid,$pid);$resume_intention=$resume_basic['intention_jobs'];$resume_specialty=$resume_basic['specialty'];//获取教育经历,出数据库了$resume_education=get_resume_education($uid,$pid);if (!empty($resume_basic))$percent=$percent+15;if (!empty($resume_intention))$percent=$percent+15;if (!empty($resume_specialty))$percent=$percent+15;if (!empty($resume_education))$percent=$percent+15;if ($resume_basic['photo_img'] && $resume_basic['photo_audit']=="1" && $resume_basic['photo_display']=="1"){$setsqlarr['photo']=1;}else{$setsqlarr['photo']=0;}if ($percent<60){ $setsqlarr['complete_percent']=$percent; $setsqlarr['complete']=2;}else{ $resume_work=get_resume_work($uid,$pid); $resume_training=get_resume_training($uid,$pid); $resume_photo=$resume_basic['photo_img']; if (!empty($resume_work))$percent=$percent+13; if (!empty($resume_training))$percent=$percent+13; if (!empty($resume_photo))$percent=$percent+14; $setsqlarr['complete']=1; $setsqlarr['complete_percent']=$percent; require_once(QISHI_ROOT_PATH.'include/splitword.class.php'); $sp = new SPWord(); $setsqlarr['key']=$resume_basic['intention_jobs'].$resume_basic['recentjobs'].$resume_basic['specialty']; $setsqlarr['key']="{$resume_basic['fullname']} ".$sp->extracttag($setsqlarr['key']); $setsqlarr['key']=str_replace(","," ",$resume_basic['intention_jobs'])." {$setsqlarr['key']} {$resume_basic['education_cn']}"; $setsqlarr['key']=$sp->pad($setsqlarr['key']); if (!empty($resume_education)) { //遍历教育经历所有字段,加入到数组里 foreach($resume_education as $li) { $setsqlarr['key']="{$li['school']} {$setsqlarr['key']} {$li['speciality']}"; } } $setsqlarr['refreshtime']=$timestamp;}//这里对教育经历做了次更新操作,二次注入由此产生!updatetable(table('resume'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'");updatetable(table('resume_tmp'),$setsqlarr,"uid='{$uid}' AND id='{$pid}'");
の後の check_resume 関数を続けてみましょう。 3. 簡単なテストのための履歴書を記入してみましょう。学校名フィールドに aa'
を記入してください。教育経験部門に連絡して保存します。 その後、エラー ステートメントが見つかりました:
0x04 脆弱性証明
データベース ユーザー関連情報を取得するための POC を構築します:
履歴書をチェックして、履歴書名が root に変更されていることを確認します。@localhost:
SQL ステートメントを確認して、更新ステートメントが正常に実行されたことを確認します。
最後に、興味のある学生は次のことを行うことができます。引き続き、他の管理者アカウントおよびその他の関連フィールドに関する情報を取得します。
この記事は HackBraid によって編集および要約されており、転載する必要がある場合は著者にご連絡ください。
どのデータをPHPセッションに保存できますか?May 02, 2025 am 12:17 AMphpssionscanStorestrings、numbers、arrays、andobjects.1.strings:textdatalikeusernames.2.numbers:integersorfloatsforcounters.3.arrays:listslikeshoppingcarts.4.objects:complextructuresthataresialized。
どのようにPHPセッションを開始しますか?May 02, 2025 am 12:16 AMtostartaphpsession、outsession_start()atthescript'sbeginning.1)placeitbe foreanyouttosetthesscookie.2)usesionsionsionsionserdatalikelogintatussorshoppingcarts.3)再生セッションインドストップレベントフィックスアタック
セッションの再生とは何ですか?また、セキュリティをどのように改善しますか?May 02, 2025 am 12:15 AMセッション再生とは、新しいセッションIDを生成し、セッション固定攻撃の場合にユーザーが機密操作を実行するときに古いIDを無効にすることを指します。実装の手順には次のものが含まれます。1。感度操作を検出、2。新しいセッションIDを生成する、3。古いセッションIDを破壊し、4。ユーザー側のセッション情報を更新します。
PHPセッションを使用する際のパフォーマンスの考慮事項は何ですか?May 02, 2025 am 12:11 AMPHPセッションは、アプリケーションのパフォーマンスに大きな影響を与えます。最適化方法には以下が含まれます。1。データベースを使用してセッションデータを保存して応答速度を向上させます。 2。セッションデータの使用を削減し、必要な情報のみを保存します。 3.非ブロッキングセッションプロセッサを使用して、同時実行機能を改善します。 4.セッションの有効期限を調整して、ユーザーエクスペリエンスとサーバーの負担のバランスを取ります。 5.永続的なセッションを使用して、データの読み取り時間と書き込み時間を減らします。
PHPセッションはCookieとどのように異なりますか?May 02, 2025 am 12:03 AMphpsesionsareserver-side、whilecookiesareclient-side.1)Sessionsionsionsoredataontheserver、aremoresecure.2)cookiesstoredataontheclient、cookiestoresecure、andlimitedinsizeisize.sesionsionsionivationivationivationivationivationivationivationivate
PHPはユーザーのセッションをどのように識別しますか?May 01, 2025 am 12:23 AMphpidentifiesauser'ssessionsingsinssessionCookiesIds.1)whensession_start()iscalled、phpgeneratesauniquesidstoredsored incoookienadphpsessidontheuser'sbrowser.2)thisidallowsphptortorieSessiondatadata fromthata
PHPセッションを保護するためのベストプラクティスは何ですか?May 01, 2025 am 12:22 AMPHPセッションのセキュリティは、次の測定を通じて達成できます。1。session_regenerate_id()を使用して、ユーザーがログインまたは重要な操作である場合にセッションIDを再生します。 2. HTTPSプロトコルを介して送信セッションIDを暗号化します。 3。Session_Save_Path()を使用して、セッションデータを保存し、権限を正しく設定するためのSecure Directoryを指定します。
PHPセッションファイルはデフォルトで保存されていますか?May 01, 2025 am 12:15 AMphpsessionFilesToredInthededirectoryspecifiedBysession.save_path、通常/tmponunix-likesystemsorc:\ windows \ temponwindows.tocustomizethis:1)uesession_save_path()tosetaCustomdirectory、ensuringit'swritadistradistradistradistradistra
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
mPDF
mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。
Safe Exam Browser
Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。
MantisBT
Mantis は、製品の欠陥追跡を支援するために設計された、導入が簡単な Web ベースの欠陥追跡ツールです。 PHP、MySQL、Web サーバーが必要です。デモおよびホスティング サービスをチェックしてください。
SAP NetWeaver Server Adapter for Eclipse
Eclipse を SAP NetWeaver アプリケーション サーバーと統合します。
VSCode Windows 64 ビットのダウンロード
Microsoft によって発売された無料で強力な IDE エディター
ホットトピック
7901
15165114141152130325124829