• 售前

  • 售后

热门帖子
入门百科

AKun Wallpaper 代码审计实战分析4

[复制链接]
123457399 显示全部楼层 发表于 2022-1-12 12:07:52 |阅读模式 打印 上一主题 下一主题
前言

在上一篇文章中重点分析了SQL注入漏洞以及介绍了其修复方案,但是给出的修复方案并没有完全修复SQL注入漏洞。接下来将详细分析未完全修复的SQL注入漏洞的绕过方案和修复方法。
   AKun Wallpaper 代码审计实战分析1:https://blog.caogenba.net/rpsate/article/details/122354690
AKun Wallpaper 代码审计实战分析2:https://blog.caogenba.net/rpsate/article/details/122387998
AKun Wallpaper 代码审计实战分析3:https://blog.caogenba.net/rpsate/article/details/122400520
  漏洞分析1(上一期未完全修复的SQL注入漏洞)

审计过程

看到 lib/mysql.func.php第28行,其中 $table虽然是可变参数,但是其数据不是用户传递得到的,所以该变量安全。但是 $key是用户传递过来的,它来自$_POST数组中的键,所以该变量用户可控。再注意观察,$key两旁并没有用引,所以这条SQL语句并不需要引号就可以闭合,那么 mysql_real_escape_string函数在此处也就没有作用了。

漏洞复现

只要将payload稍作修改,并将payload写在键值对的 键中,而不是值中即可绕过转义函数的限制。如下图所示,发送请求5s后才收到响应包,这说明 sleep(5)函数执行成功,存在SQL注入漏洞。
payload:
  1. username=test&password=123456&email)/**/values(1,1,sleep(5));#=
复制代码
执行的SQL语句:
  1. INSERT INTO admin_root(username,password,email)/**/values(1,1,sleep(5));#) VALUES('test','e10adc3949ba59abbe56e057f20f883e','')
复制代码

修复方案

此处mysql_real_escape_string函数无效,那么可以采用白名单的方式来过滤非法字符。$key代表的是数据表中的字段名,所以可以用所有表中字段名建成一个白名单。将这个白名单写在 lib/mysql.func.php中,如下图所示:
  1. $allow_columns = array('id', 'username', 'password', 'email', 'imageName', 'imagePath');
复制代码

然后逐个判断 $key是否存在白名单中,如果不存在则直接删除这个键值对。
  1. global $allow_columns;
  2. foreach ($data as $key=>$value) {
  3.     if (!in_array($key, $allow_columns)) {
  4.         unset($data[$key]);
  5.     }
  6. }
复制代码

再次测试,发现 sleep(5)没有执行。此时SQL注入漏洞已经完全修复。

漏洞分析2

审计过程

看到 lib/mysql.func.php的34行的update函数,该函数中未对传入数据中特殊字符转义,所以存在sql注入漏洞。

在函数中加入下面两行代码对特殊字符进行转义:
  1. $key = mysql_real_escape_string($key);
  2. $value = mysql_real_escape_string($value);
复制代码
判断 $key是否在白名单中,不在白名单中则删除该键值对:
  1. global $allow_columns;
  2. foreach ($data as $key=>$value) {
  3.     if (!in_array($key, $allow_columns)) {
  4.         unset($data[$key]);
  5.     }
  6. }
复制代码

现在虽然处理了参数$data传入的数据,但是在这个函数中还有一个参数$where可能存在sql注入漏洞。看到 core/core.php的44行,此处的id={$id}即函数 update中的 $where。接下来继续寻找 $id的源头,因为$id和 $admin_user的源头不同数据流终点相同,所以依次点击左边 mysql.func.php:41 (Shared Sink) - [0/4]下面的几个数据流就可以很快找到 $id的源头。

看到 admin/doAdminAction.php的第18行,$id来源于POST数据,然后$id传递给了updateAdmin函数。整个数据流中未对 id进行任何处理,所以一定存在sql注入。

漏洞复现

在浏览器中修改用户资料,同时用burpsuite抓取数据包,构造好payload并发送数据包。如下图所示程序成功执行了构造好的payload。
  1. id=2 and sleep(5)&username=test&password=&email=test
复制代码

修复方法

要注意其中的 $where,$where拼接在SQL语句中WHERE的后面,那么 $where的格式应该为 key1='value1' and/or key2='value2'或者没有引号的key1=value1 and/or key2=value2。如果 $where中存在引号则不能直接对 $where进行转义,需要先对接收到的数据转义,然后再将数据传递给变量$where。
继续看到 lib/core.php的第44行,此处$id为int型,所以可以通过 intval函数处理。或者在$id两旁加上单引号并用 mysql_real_escape_string函数处理。

在 $id传入函数前面添加下面代码即可:
  1. $id = intval($id);
复制代码

再次尝试,发现payload已经无效了。

通过mysql监控工具发现sql语句中的id并不等于 2 and sleep(5),而是等于2。因为字符串经过 intval函数处理后就会变成整数。其他sql注入漏洞修复方法类似,请各位师傅尝试自行修复。

漏洞分析3

审计过程

fortify提示没有设置httponly。如果没有设置 httponly,那么用户可以通过js获取cookie。如果仅仅是没有设置 httponly,那么攻击者无法利用这个漏洞。但是这与XSS结合,那么危害就很大了。

漏洞复现

登录网站后台,记得勾选记住密码,这样才会设置cookie。

登录网站后台后按下 F12调出控制台,然后在控制台输入以下js代码并执行。这句js代码的意思是获取cookie并在控制台输出。执行代码后发现成功输出的cookie。
  1. console.log(document.cookie);
复制代码

修复方案

cookie可以分为自定义设置的cookie和标识seesion的cookie。自定义生成的cookie是通过 setcookie函数或者 setrawcookie函数设置,这两个函数的第7个参数代表是否设置 httponly,默认为false。标识session的cookie,也就是 PHPSESSID会在启用session的时候存储在浏览器中。 PHPSESSID开启 httponly既可以在配置文件 php.ini中修改session.cookie_httponly = On 也可以使用函数ini_set("session.cookie_httponly", 1)。要注意的是函数 ini_set必须放在session_start函数前面,因为session_start函数执行的同时 PHPSESSID就设置好了。
   setcookie和setrawcookie的区别是前者会对数据进行url编码,后者存储原始数据。
  ini_set函数不能用在php5.2以前的版本。
  在文件include.php中10行添加下列代码:
  1. ini_set("session.cookie_httponly", 1);
复制代码

然后将所有 cookie函数的第七个参数设置成 true,例如 setcookie("adminId", $id, time()+7*24*3600, null, null, null, true);。

删除所有cookie,再次登录后尝试用js获取cookie,发现已经无法通过js获取cookie了。


来源:https://blog.caogenba.net/rpsate/article/details/122417856
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作