【PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入

最新推荐文章于 2022-05-02 06:01:25 发布
转载 最新推荐文章于 2022-05-02 06:01:25 发布 · 72 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/xiaozi/p/5538378.html

本文分析了一种名为二次注入的安全漏洞,这种漏洞出现在74cms 3.4版本中。通过详细解析源码结构及审计过程,揭示了由于全局转义处理不当导致的二次注入现象,并给出了具体的漏洞复现步骤。

0x01 背景

现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。二次注入也是一种比较常见的注入,它涉及到入库和出库。因为有全局转义所以入库的时候:

Insert into table (username) values (‘hack\’’);

这样入库后转义符就会消失变成了hack’,这样如果hack’出库被带入查询的话就会成功的引入了单引号导致注入。
漏洞来源于乌云:http://www.wooyun.org/bugs/wooyun-2014-068362

0x02 环境搭建

看背景我们使用了低版本的74cms程序,版本为3.4(20140310)
①源码网上可以搜到,我打包了一份:http://pan.baidu.com/s/1c1mLCru
②解压到www的74cms(20140310)目录下,浏览器访问http://localhost/74cms(20140310)),然后按照提示一步步安装即可,安装遇到问题请自行百度或谷歌,成功后访问如下图:

0x03 漏洞分析

Part1:源码结构

源码的结构比较清晰,应该是审计过最清晰的结构了,主要有下面三块内容:

index.php引入了common.inc.php文件,我们跟进common.inc.php,发现了处理gpc的函数:

<?php
if (!empty($_GET))
{
    $_GET  = addslashes_deep($_GET);
}
if (!empty($_POST))
{
    $_POST = addslashes_deep($_POST);
}
$_COOKIE   = addslashes_deep($_COOKIE);
$_REQUEST  = addslashes_deep($_REQUEST);

 

可以看到,服务端处理GET和POST请求的变量时都会做addslashes处理。

Part2:审计过程

1.首先在个人发布简历处:

elseif ($act == 'make4_save') {
    $resume_education = get_resume_education($_SESSION['uid'], $_REQUEST['pid']);
    if (count($resume_education) >= 6) showmsg('教育经历不能超过6条!', 1, $link);
    $setsqlarr['uid'] = intval($_SESSION['uid']);
    $setsqlarr['pid'] = intval($_REQUEST['pid']);
    if ($setsqlarr['uid'] == 0 || $setsqlarr['pid'] == 0) showmsg('参数错误!', 1);
    $setsqlarr['start'] = trim($_POST['start']) ? $_POST['start'] : showmsg('请填写开始时间!', 1, $link);
    $setsqlarr['endtime'] = trim($_POST['endtime']) ? $_POST['endtime'] : showmsg('请填写结束时间!', 1, $link);
    $setsqlarr['school'] = trim($_POST['school']) ? $_POST['school'] : showmsg('请填写学校名称!', 1, $link);
    $setsqlarr['speciality'] = trim($_POST['speciality']) ? $_POST['speciality'] : showmsg('请填写专业名称!', 1, $link);
    $setsqlarr['education'] = trim($_POST['education']) ? $_POST['education'] : showmsg('请选择获得学历!', 1, $link);
    $setsqlarr['education_cn'] = trim($_POST['education_cn']) ? $_POST['education_cn'] : showmsg('请选择获得学历!', 1, $link);
    //看到这里有个插入表“qs_resume_education”的操作,将教育背景相关的字段入库
    if (inserttable(table('resume_education'), $setsqlarr)) {
        check_resume($_SESSION['uid'], intval($_REQUEST['pid']));

 

2.这里看到insert入库了,可以尝试加个单引号,入库后就会消除转义字符。我们先继续跟进inserttables后的check_resume函数

//检查简历的完成程度
function check_resume($uid, $pid)
{
    global $db, $timestamp, $_CFG;
    $uid = intval($uid);
    $pid = intval($pid);
    $percent = 0;
    $resume_basic = get_resume_basic($uid, $pid);
    $resume_intention = $resume_basic['intention_jobs'];
    $resume_specialty = $resume_basic['specialty'];
    //获取教育经历,出数据库了
    $resume_education = get_resume_education($uid, $pid);
    if (!empty($resume_basic)) $percent = $percent + 15;
    if (!empty($resume_intention)) $percent = $percent + 15;
    if (!empty($resume_specialty)) $percent = $percent + 15;
    if (!empty($resume_education)) $percent = $percent + 15;
    if ($resume_basic['photo_img'] && $resume_basic['photo_audit'] == "1" && $resume_basic['photo_display'] == "1") {
        $setsqlarr['photo'] = 1;
    } else {
        $setsqlarr['photo'] = 0;
    }
    if ($percent < 60) {
        $setsqlarr['complete_percent'] = $percent;
        $setsqlarr['complete'] = 2;
    } else {
        $resume_work = get_resume_work($uid, $pid);
        $resume_training = get_resume_training($uid, $pid);
        $resume_photo = $resume_basic['photo_img'];
        if (!empty($resume_work)) $percent = $percent + 13;
        if (!empty($resume_training)) $percent = $percent + 13;
        if (!empty($resume_photo)) $percent = $percent + 14;
        $setsqlarr['complete'] = 1;
        $setsqlarr['complete_percent'] = $percent;
        require_once(QISHI_ROOT_PATH . 'include/splitword.class.php');
        $sp = new SPWord();
        $setsqlarr['key'] = $resume_basic['intention_jobs'] . $resume_basic['recentjobs'] . $resume_basic['specialty'];
        $setsqlarr['key'] = "{$resume_basic['fullname']} " . $sp->extracttag($setsqlarr['key']);
        $setsqlarr['key'] = str_replace(",", " ", $resume_basic['intention_jobs']) . " {$setsqlarr['key']} {$resume_basic['education_cn']}";
        $setsqlarr['key'] = $sp->pad($setsqlarr['key']);
        if (!empty($resume_education)) {
            //遍历教育经历所有字段,加入到数组里
            foreach ($resume_education as $li) {
                $setsqlarr['key'] = "{$li['school']} {$setsqlarr['key']} {$li['speciality']}";
            }
        }
        $setsqlarr['refreshtime'] = $timestamp;
    }
    //这里对教育经历做了次更新操作,二次注入由此产生!
    updatetable(table('resume'), $setsqlarr, "uid='{$uid}' AND id='{$pid}'");
    updatetable(table('resume_tmp'), $setsqlarr, "uid='{$uid}' AND id='{$pid}'");

 

3.我们填写一份简历简单试验下,在教育经历处学校名称字段填写aa’

保存后发现报错语句:

0x04 漏洞证明

构造获取数据库用户相关信息的POC:

查看简历发现简历姓名变成了root@localhost:

查看sql语句发现更新语句是成功执行的:

最后,有兴趣的同学可以继续获取其它的管理员账户等相关字段的信息。

本文由HackBraid整理总结,原文链接:http://www.cnbraid.com/2016/02/19/sql3/,如需转载请联系作者。

转载于:https://www.cnblogs.com/xiaozi/p/5538378.html

an0708
关注
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章202010月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
热门推荐
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
PHP代码审计 -1.SQL注入总结
05-30 110
0x01 背景 最近在学习PHP代码审计,这里做一个SQL注入总结,是对自己学习知识的总结,也是为自己学习的笔记,方便自己反复翻阅。 0x02 PHP代码审计-SQL注入 挖掘SQL注入漏洞的时候,最简单也最容易被发现的就是什么都没过滤的情况。 代码示例 <?php ...
红队专题-漏洞挖掘-代码审计
aming小老弟
03-11 1603
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
SQL注入关联分析
swordheart的博客
04-25 1458
0x00 序言 打开亚马逊,当挑选一本《Android4高级编程》时,它会不失时机的列出你可能还会感兴趣的书籍,比如Android游戏开发、Cocos2d-x引擎等,让你的购物车又丰富了些,而钱包又空了些。关联分析,即从一个数据集中发现项之间的隐藏关系。 在Web攻防中,SQL注入绝对是一个技能的频繁项,为了技术的成熟化、自动化、智能化,我们有必要建立SQL注入与之相关典型技术之间的关联规则。在分析过程中,整个规则均围绕核心词进行直线展开,我们简单称之为“线性”关联。以知识点的复杂性我们虽然称不上为神经
mysql数据关联分析_SQL注入关联分析
weixin_42372573的博客
01-29 737
在Web攻防中,SQL注入绝对是一个技能的频繁项,为了技术的成熟化、自动化、智能化,我们有必要建立SQL注入与之相关典型技术之间的关联规则。在分析过程中,整个规则均围绕核心词进行直线展开,我们简单称之为“线性”关联。以知识点的复杂性我们虽然称不上为神经网络,但它依然像滚雪球般对知识架构进行完善升级,所以也可称之为雪球技术。本文以SQL注入为核心,进行资料信息整合性解读,主要目的有:为关联分析这门科...
20时候收集的一些信息安全岗面试题
课嗨教育的专栏
05-02 8439
目录 面试一 面试二 面试三 更多资料可:渗透测试基础课-课程进度_课嗨教育的博客-优快云博客 面试一 个人介绍: 自我介绍要点:不要用长逻辑句,短小精悍 控制在3-4分钟 1、自我介绍姓名龄哪里人学校情况不是重点,作为顺滑开场 2、经历与技能啥时候开始学web攻防,实习经历(神舟,做了什么;尚然,做了什么),让人家清楚历史引入技术主题,挑重点 3、业绩/成绩: 研究类:freebuff SRC I春秋...
Web安全攻防渗透测试实战指南笔记 三
Ren59421的博客
04-05 8965
第二章 2.1 在Linux系统中安装LANMP LANMP是Linux下Apache、Nginx、MySQLPHP的应用环境,本节演示的是WDLinux的一款集成的安装包。 首先,下载需要的安装包,命令如下所示。 wegt http://dl.wdlinux.cn/files/lanmp_v3.tar.gz 下载完成后进行解压,解压文件的命令为tar zxvf lanmp_v3.tar.gz,运行环境如下图所示。 输入sh lanmp.sh命令运行LANMP,这时程...
2025高校毕业生就业分析[项目代码]
01-01
2025高校毕业生人数再创新高,达到1222万人,同比增加43万,就业市场面临总量压力与结构性矛盾交织的复杂局面。青失业率攀升至17.8%,传统行业如互联网、房地产岗位缩减40%-80%,而新兴行业如人工智能、新能源人才缺口巨大。高增长行业如人工智能、新能源、半导体等提供高薪机会,但技能与岗位需求脱节问题突出。学历溢价持续存在,高学历者如清华大学毕业生平均月薪1.33万元,而文科专业就业率不足40%。地域上,东部沿海竞争激烈但机会集中,中西部则因政策扶持新兴机遇。政府通过扩岗补助、职业技能培训等措施缓解就业压力,高校调整学科专业,企业推行校企协同与灵活用工。毕业生需主动适应市场变化,提升技能,关注中西部新兴产业机会,调整职业心态与长期规划。未来技术变革与政策将持续重塑就业市场,创造新的就业空间。
system-permission-loader
最新发布
01-01
system-permission-loader
基于TTCN3的MQTT协议一致性自动化测试框架:客户端与服务端规范验证套件
01-01
物联网通信协议测试是保障各类设备间实现可靠数据交互的核心环节。在众多适用于物联网的通信协议中,MQTT(消息队列遥测传输)以其设计简洁与低能耗的优势,获得了广泛应用。为确保MQTT客户端与服务端的实现严格遵循既定标准,并具备良好的互操作性,实施系统化的测试验证至关重要。 为此,采用TTCN-3(树表结合表示法第3版)这一国际标准化测试语言构建的自动化测试框架被引入。该语言擅长表达复杂的测试逻辑与数据结构,同时保持了代码的清晰度与可维护性。基于此框架开发的MQTT协议一致性验证套件,旨在自动化地检验MQTT实现是否完全符合协议规范,并验证其与Eclipse基金会及欧洲电信标准化协会(ETSI)所发布的相关标准的兼容性。这两个组织在物联网通信领域具有广泛影响力,其标准常被视为行业重要参考。 MQTT协议本身存在多个迭代版本,例如3.1、3.1.1以及功能更为丰富的5.0版。一套完备的测试工具必须能够覆盖对这些不同版本的验证,以确保基于各版本开发的设备与应用均能满足一致的质量与可靠性要求,这对于物联网生态的长期稳定运行具有基础性意义。 本资源包内包含核心测试框架文件、一份概述性介绍文档以及一份附加资源文档。这些材料共同提供了关于测试套件功能、应用方法及可能包含的扩展工具或示例的详细信息,旨在协助用户快速理解并部署该测试解决方案。 综上所述,一个基于TTCN-3的高效自动化测试框架,为执行全面、标准的MQTT协议一致性验证提供了理想的技术路径。通过此类专业测试套件,开发人员能够有效确保其MQTT实现的规范符合性与系统兼容性,从而为构建稳定、安全的物联网通信环境奠定坚实基础。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
【负荷预测、电价预测】基于神经网络的负荷预测和价格预测(Matlab代码实现)
01-01
【负荷预测、电价预测】基于神经网络的负荷预测和价格预测(Matlab代码实现)内容概要:本文档围绕“基于神经网络的负荷预测和电价预测”展开,提供了使用Matlab实现的完整代码与技术方案。内容涵盖电力系统中负荷与电价的时间序列预测模型构建,重点利用神经网络(如BP、LSTM、CNN等)进行数据建模与训练,并结合实际电力数据完成预测任务。文档多强调该资源适用于科研复现与工程实践,尤其适合需要进行电力系统智能预测的相关研究。文中还提到了多个相关应用场景和技术扩展,体现了较强的综合性与实用性。; 适合人群:具备一定电力系统基础知识和Matlab编程能力的研究生、科研人员及从事能源预测、智能电网相关工作的技术人员;熟悉机器学习或深度学习基本原理者更佳;; 使用场景及目标:①应用于电力系统中的短期/长期负荷与电价预测研究;②支撑学术论文复现、课题项目开发及优化调度系统设计;③帮助理解神经网络在时序预测中的具体实现方式与参数调优策略;; 阅读建议:建议结合文档中提到的其他资源(如网盘链接)下载完整代码进行实操演练,重点关注数据预处理、模型搭建与训练流程,配合Matlab工具箱深入理解算法细节,并尝试迁移至其他预测场景以提升应用能力。
C#实现三菱Q系列PLC串口通讯与寄存器批量读取源码
01-01
C#环境下实现三菱可编程逻辑控制器串行通信的编程示例。该代码库提供了通过串行端口与三菱PLC设备进行数据交互的功能模块,支持对多种类型寄存器状态的读取操作,包括输入继电器X、输出继电器Y、辅助继电器M及数据寄存器D等。程序实现了高效的批量数据读取机制,能够通过单通信请求获取多个连续寄存器的状态信息,显著提升数据采集效率。代码结构采用模块化设计,封装了通信协议解析、数据帧构建及错误校验等底层操作,为工业自动化控制系统中的设备监控和数据交换提供了可靠的技术解决方案。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
EXCEL中日期取月份公式函数
01-01
先看效果: https://pan.quark.cn/s/27011615eb55 在Excel软件中,我们频繁需要进行日期数据的操作,尤其是当我们需要从包含日期内容的复杂单元格文本里提取月份信息时。 本文将详尽阐释如何借助公式以及VBA程序达成这一目的。 现在让我们研究Excel公式的应用方式。 在Excel软件里,存在多种内置函数能够协助我们处理日期。 倘若单元格里的日期格式标准,我们可以直接运用`MONTH`函数来获取月份。 比如,假设日期存放在A1单元格,我们可以在另一个单元格键入以下公式:```excel=MONTH(A1)```这将会返回A1单元格日期的月份值。 倘若日期呈现文本格式(如"20234月15日"),则需要先将其转化为日期类型。 能够运用`DATEVALUE`函数并搭配适宜的分隔符来实现:```excel=MONTH(DATEVALUE("1/"&MID(A1,FIND("",A1)+1,4)&"/"&LEFT(A1,FIND("",A1)-1)))```这个公式首先定位到""的位置,然后提取出份和月份,最终组合成符合英文日期格式的字符串,随后通过`DATEVALUE`转换为日期,再应用`MONTH`函数。 随后,我们转向VBA编程方面。 在VBA编程环境里,可以构建自定义函数来处理此类任务。 以下是一个基础的VBA函数范例,用于从字符串中提取月份:```vbaFunction ExtractMonth(text As String) As Integer Dim dateParts() As String dateParts = Split(text, "") If UBound(dateParts) >= 1 Then ExtractMo...
基于Python的酒桌扑克娱乐小游戏微信小程序源码,集成多款游戏与流量主广告功能
01-01
本款微信小程序提供一系列适用于社交场合的互动娱乐项目,包含多种经典游戏形式,例如常见的骰子投掷、隐私挑战环节、移动设备屏幕滚动文字展示以及随机抽选转盘等。该应用界面设计简洁清晰,视觉体验较为友好。程序内部已集成多种广告接入支持,包括激励式视频、页面插屏、视频流及横幅广告等形式。相关广告标识符已整理于文档文件中,用户解压资源包后即可查阅。部署流程较为简便:通过微信官方开发工具加载项目源代码,替换对应的广告标识信息后,便可提交平台审核发布。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
列换位法-常见加密算法-下载即用.zip
01-01
源码地址: https://pan.quark.cn/s/f023b6862ab8 列置换法涉及将明文字符分割为多个(如5个)字符为一组的集合,并按照一组紧随另一组的顺序进行排列,其排列格式表现为:c1 c2 c3 c4 c5 c6 c7 c8 c9 c10…… 若最后一组字符不足,则可用不常用的字符或a、b、c等字母进行填充。 密文生成过程是通过逐列选取字符来完成的:c1c6…c2…c7…c3c8….c5…c10...
【新能源汽车】800V高压平台技术解析:全域高压架构与关键部件在补能效率优化中的应用研究
01-01
内容概要:本文系统介绍了新能源汽车领域以800V高压电气平台为代表的核心新技术,重点剖析了其技术背景、发展动因及三大技术分类——全域800V高压技术、关键部件支持800V电压和仅电池支持800V的“伪800V”方案。文章通过保时捷Taycan、小鹏G9、小米SU7等典型案例,展示了800V高压平台在提升充电效率、降低能耗方面的显著优势,并深入解析了PTC加热器等关键部件在高压化过程中的作用与挑战。同时指出,生产制造领域的一体化压铸、智能座舱芯片等技术也在协同推动新能源汽车向轻量化、智能化方向发展。; 适合人群:汽车电子工程师、新能源汽车技术研发人员、主机厂技术人员及对汽车前沿技术感兴趣的从业者;具备一定汽车工程或电气基础知识的中高级技术人员尤为适合。; 使用场景及目标:①深入了解800V高压平台的技术演进路径及其在整车系统中的应用差异;②掌握全域800V与非全域方案在能效、成本、可靠性等方面的优劣对比;③为新能源汽车动力系统设计、补能体系优化和关键技术选型提供参考依据。; 阅读建议:此资源技术性强,建议结合实际车型参数和行业动态进行对照学习,重点关注高压平台与电驱系统、热管理系统的协同设计逻辑,并注意区分宣传术语与真实技术实现之间的差别。
小程序购物车功能实现,金额计算与加减操作
01-01
源码来自:https://pan.quark.cn/s/a4b39357ea24 仿饿了么购物车效果 左右侧列表联动 顶部吸附标题 利用二贝塞尔曲线做成下单特效等
sqli-bypass靶场:突破SQL注入的实战演练
资源摘要信息:"SQL注入攻击(SQL Injection),简称sqli,是一种常见的网络攻击技术,攻击者通过在Web表单输入或URL查询字符串中插入恶意的SQL代码,从而控制或操作后端数据库。sqli攻击通常被用于从数据库中获取...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值