个人博客地址
http://www.darkerbox.com
欢迎大家学习交流
环境:
https://www.ripstech.com/php-security-calendar-2017/
参考
https://xz.aliyun.com/t/2467
分析
class Login {
public function __construct($user, $pass) {
$this->loginViaXml($user, $pass);
}
public function loginViaXml($user, $pass) {
if (
(!strpos($user, '<') || !strpos($user, '>')) &&
(!strpos($pass, '<') || !strpos($pass, '>'))
) {
$format = '<?xml version="1.0"?>' .
'<user v="%s"/><pass v="%s"/>';
$xml = sprintf($format, $user, $pass);
$xmlElement = new SimpleXMLElement($xml);
// Perform the actual login.
$this->login($xmlElement);
}
}
}
new Login($_POST['username'], $_POST['password']);
漏洞主要出现在strpos函数。
strpos主要是用来查找字符在字符串中首次出现的位置。
代码很明显。通过sprintf格式化字符串函数将参数拼接到xml中,中间的过滤使用的是strpos函数
作者的本意是通过strpos匹配到了<或者>。就退出判断。
strpos函数是返回字符串首次出现的位置。如果出现了。返回的是数字。如果没有匹配到。返回false。但是作者忽略了<可能在第一个字符。如果<在第一个字符。strpos返回的是0。然后取反变为true。绕过了if判断。
所以作者的if判断只能防御<不在第一个字符的字符串。
user=<"><injected-tag%20property="&pass=<injected-tag>
欢迎大家一起学习交流,共同进步,欢迎加入信息安全小白群
