代码审计之绕过后台权限限制,继续sql注入

来源:http://bbs.ichunqiu.com/thread-10102-1-1.html?from=ch

作者:无敌情痴

时间:2016年8月14日 15:59:40

社区:i春秋

前言

为了保证自己不被坏蛋哥干掉,所以写篇文章,上一篇文章的点评中,泉哥对我说授人以鱼不如授人以渔,虽然我也很想做到这样,但是目前的我能力不足,只能分享自己挖掘漏洞的过程,没有能力写出一篇文章来系统的分析如何系统的挖掘一套cms的流程

正文

在审计某套系统的时候,发现了一处注入,但是按照系统的正常逻辑需要有管理员权限才可以,才可以进行注入,于是就想着突破一下权限检测,结果成功了

elseif($act == 'get_jobs')

{

$type=trim($_GET['type']);

$key=trim($_GET['key']);

if (strcasecmp(XXXX_DBCHARSET,"utf8")!=0)

{

$key=iconv("utf-8",XXXX_DBCHARSET,$key);

}

if ($type=="get_id")

{

$id=intval($key);

$sql = "select * from ".table('jobs')." where id='{$id}'  LIMIT 1";

}

elseif ($type=="get_jobname")

{

$sql = "select * from ".table('jobs')." where jobs_name like '%{$key}%'  LIMIT 30";

}

elseif ($type=="get_comname")

{

$sql = "select * from ".table('jobs')." where companyname like '%{$key}%'  LIMIT 30";

}

elseif ($type=="get_uid")

{

$uid=intval($key);

$sql = "select * from ".table('jobs')." where uid='{$uid}'  LIMIT 30";

}

else

{

exit();

}

[/b][/color][/size]

[size=2][color=#000000][b]

复制代码

$sql = "select * from ".table('jobs')." where jobs_name like '%{$key}%'  LIMIT 30";

系统对get,post,cookie都做了addslashes,上面这行代码有引号保护正常来说不能注入,但是

if (strcasecmp(XXXX_DBCHARSET,"utf8")!=0)

{

$key=iconv("utf-8",XXXX_DBCHARSET,$key);

}

这个常量XXXX_DBCHARSET被定义为GBK,所以

$key=iconv("utf-8",XXXX_DBCHARSET,$key);

会把utf-8转换为gbk,编码转换,造成的宽字节注入

不过开头的地方include了一个权限检查文件,也就是说要注入,必须先绕过里面的权限检查代码

if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')

复制代码

if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')

开头有这么一句代码,也就是说要执行下面这段权限检查代码,必须先满足这个条件,但是这里

$_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout'

$_REQUEST这个数组的数据来自$_POST,$_GET,$_COOKIE这些地方,是可控的,所以只要让值登录这三个的任意一个就可以绕过权限检查代码

但是系统是根据$act这个值来判断执行那段代码的

elseif($act == 'get_jobs')

如果不等于get_jobs,不就不会执行这段代码了,然后又仔细看了一下代码,发现了突破口

检查权限的文件接收$act用的是$_REQUEST

而这个存在注入的文件接收注入用的是$_GET

而测试的时候发现,$_REQUEST接收一个变量的时候会先查找POST数组里面的

下面是一段验证代码


echo $_REQUEST['act'];

?>

复制代码

看下面的三张截图,先在GET参数中输入act,发现REQUEST,接收了GET的act,然后再在POST参数输入act,发现REQUEST,接收了POST参数输入的act,最后一张图是重点,如果同时在GET和POST参数中输入act这个变量,REQUEST会优先接收POST的

所以可以利用这一点来突破权限检测

if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')

在POST中输入act为login,这样这个条件就不成立,然后再在GET中输入act为get_jobs

elseif($act == 'get_jobs')

这样就会执行这个分支了

然后就注入成功了

结尾

由于本人是个菜鸟,文章的内容难免会出现差错,希望大家多多指正,也谢谢泉哥对我们文章的点评

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容

  • Spring Cloud
    Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 135,253评论 19 139
  • 什么是sql注入?
    姓名:于川皓 学号:16140210089 转载自:https://baike.baidu.com/item/sq...
    道无涯_cc76阅读 2,000评论 0 2
  • Java初级面试题
    1. Java基础部分 基础部分的顺序:基本语法,类相关的语法,内部类的语法,继承相关的语法,异常的语法,线程的语...
    子非鱼_t_阅读 31,837评论 18 399
  • 后台学习——django(2)
    经过对django的初步学习,我们已经对后台的基本流程以及django的运作有了一定的了解,但是这还不足够,dja...
    coder_ben阅读 3,872评论 8 34
  • 代码审计之任意用户密码找回漏洞
    来源:http://bbs.ichunqiu.com/thread-10497-1-1.html?from=ch ...
    池寒阅读 1,694评论 0 4