BlueCMS v1.6 sp1 /admin/login.php SQL注入漏洞分析

其他 2018-07-26 05:10:48 阅读次数: 0

BlueCMS v1.6 sp1 /admin/login.php SQL注入漏洞分析

略读代码:

开头包含了文件

require_once(dirname(__FILE__) . '/include/common.inc.php');

该文件中,全局数据转义

 if(!get_magic_quotes_gpc())//如果没有开启
 {
    $_POST = deep_addslashes($_POST);
    $_GET = deep_addslashes($_GET);
    $_COOKIES = deep_addslashes($_COOKIES);
    $_REQUEST = deep_addslashes($_REQUEST);
 } //加上斜杠转义

输入了双引号,会被转义掉,那么此处就没办法简单地引入引号去控制Sql语句了。

转换思路:

这个时候发现自己没有思路了,只会单引号双引号。。。渣-c-

参考一下:【Code Review】bluecms v1.6 Sql Injection 分析

可以发现对数据的注入,进行了加斜杠转义的操作。那么接下来找注入思路主要有以下3点:

  • 整数型注入
  • 整套cms默认gb2312编码,容易造成宽字节注入
  • http头并不在转义的范围内,所以类似存入ip,reffer的位置也能发生注入

尝试宽字节注入:

  • 抓包修改admin_name=%df%27+or+1%3D1%23
  • 明文就是%df' or 1=1#
  • 单引号被转义后变成%df\' or 1=1#
  • 宽字节注入是利用mysql的一个特性,因为gbk是多字节编码,他认为两个字节代表一个汉字,所以%df和后面的\也就是%5c变成了一个汉字“運”,而单引号逃逸了出来,就可以成功闭合sql语句了
  • 再加上后面的or 1=1 #就构造成了永真语句,可以成功免密登录管理员后台了

理解宽字节:

参考:浅析白盒审计中的字符编码及SQL注入

  • 本质是如何绕过addslashes函数:
  • addslashes函数产生的效果就是,让变成\’,让引号变得不再是“单引号”

  • 一般绕过方式就是,想办法处理\’前面的\

    • 想办法给\前面再加一个\(或单数个即可),变成\\’,这样\被转义了,逃出了限制
    • 想办法把\弄没有。

  • mysql怎么判断一个字符是不是汉字?

    • 根据gbk编码,第一个字节ascii码大于128,基本上就可以了。比如我们不用%df,用%a1也可以

  • gb2312和gbk的区别?

    • gb2312编码的取值范围。它的高位范围是0xA1~0xF7,低位范围是0xA1~0xFE,而\0x5c,是不在低位范围中的。
    • 0x5c根本不是gb2312中的编码,所以自然也是不会被吃掉的。

修复方案1:

  • 先调用mysql_set_charset函数设置连接所使用的字符集为gbk

  • 再调用mysql_real_escape_string来过滤用户输入。

  • 这个方式是可行的,但有部分老的cms,在多处使用addslashes来过滤字符串,我们不可能去一个一个把addslashes都修改成mysql_real_escape_string。

所以有修复方案2:

  • 将character_set_client设置为binary(二进制)。
  • 只需在所有sql语句前指定一下连接的形式是二进制:
    mysql_query("SET character_set_connection=gbk, character_set_results=gbk,character_set_client=binary", $conn);
  • 所有数据以二进制的形式传递,就能有效避免宽字符注入。

编写pocsuite插件:

requests不进行urldecode:

参考:如何在requests post时不做urlencode
There are many times that you want to send data that is not form-encoded. If you pass in a string instead of a dict , that data will be posted directly.
所以,只要直接传一个string作为payload数据,requests就不会做任何转换,直接发出去。

并且加上headers = {"Content-Type": "application/x-www-form-urlencoded"}

验证:

poc链接

总结:

  • 阅读源码的时候,先看看全局过滤
  • gb2312、gbk编码的话,考虑宽字节注入
  • 宽字节注入的原理是 gbk是多字节编码,他认为两个字节代表一个汉字,所以可以用%df和后面的\也就是%5c变成了一个汉字“運”,而单引号逃逸了出来

参考:

猜你喜欢

转载自blog.csdn.net/qq_28921653/article/details/80752680
今日推荐
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
周排行
浏览器对同一域名进行请求的最大并发连接数
React Hook之自定义Hook
【转】MyBatis缓存机制
-Java-泛型
自动化测试常用脚本-发送邮件
LeetCode#859: Buddy Strings
java、Python处理字符串
第二篇の博客
Hadoop伪分布式环境安装
SQL Server进阶(十一)临时表、表变量
每日归档
更多
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022