萌新入坑PHP代码审计中╭(°A°`)╮选了这个易上手CMS,费尽心思审计出了一个风趣的二阶注入,满足的睡了,第二天计划写文档的时分,居然发现……
0×00 缝隙代码
用户在发布资讯时,虽然对POST数据运用了addslashes函数,可是因为editor参数可控依旧能够刺进结构好的Payload
/user/zxsave.php 第51行:
在检查用户发布的资讯时,会查询文章id所对应的相关信息。
/zx/show.php 第36行:
会依据该资讯id,需求具有的检查信息的用户组等级(groupid)来进行判别,假如groupid不为0,而且检查资讯时需求花费积分时,那么便会调用Payif函数。
/zx/show.php 第155行:
假如用户积分剩余检查资讯的积分时,那么便会:
减去检查者对应的积分(依据cookie里边的Username参数);
添加发布者对应的积分(依据检查文章对应信息里边的editor字段);
…
/zx/show.php 第92行:
例如:
1.正常形式下:editor=admin,$jifen=10时,那么第二条查询句子就是:
update zzcms_user set totleRMB=totleRMB+10 where username = 'admin'
假如 editor=’ and groupid=(select sleep(3)) — – 时,那么第二条查询句子就是:
update zzcms_user set totleRMB=totleRMB+10 where username = '' and groupid = (select sleep(3)) -- -'
此刻我们便可依据页面所呼应的时刻,来判别查询句子是否成功了。
0×01 运用缝隙
能够看到普通用户的groupid是1。
在发布资讯是能够挑选vip用户才干检查或许高档会员检查,或许直接在BurpSuite中修正groupid为2,并设置检查积分为大于0的值:
在检查该信息时能够看到,添加了约束:
此刻将editor设置为我们的Payload:
此刻在检查资讯时便能够看到呼应时刻的反常:
我们最终传入数据库的SQL句子如下,能够看到,这样的话我们每履行一次查询句子便加不了10积分,而检查资讯却需求10积分,这样说来,履行一次Payload需求十积分,通过测验,最少也是1分,这…也太豪了。
update zzcms_user set totleRMB=totleRMB+10 where username = TEag1e” and groupid = (select sleep(3)) — -’
通过我思考后,我将and逻辑运算符替换为了or逻辑运算符,酱紫的话,便能够减10,加10了,一分钱不花了
然后说一下我遇到的坑/新GET到的细节:
MySQL中在运用or逻辑运算符时,假如前面的条件现已将数据库中的成果悉数挑选出来了,那么or后边的条件便不会在进行履行了。
例如:此刻数据库中满是groupid为1的用户
假如SQL句子是:
update zzcms_user set totleRMB=totleRMB+10 where groupid = 1 or username = (select sleep(3))
那么username后边的自查询便不会履行,而假如运用的是and逻辑运算符的话,假如and前面的条件一条数据也查询不出来时,那么and后边的子查询句子便也不会履行了。
0×02 第二天醒来
第二天,我正要写文档的时分,发现咋就失利了呢,等我回到数据库中时,发现editor字段居然设置了50个字符的约束,好惨…
虽然有些丢失,可是我并不泄气,究竟缝隙被疏忽的多了现已习惯了。。
0×03 一些小东西
上文笔者现已说过了,看积分文章时:
1.减去检查者对应的积分(依据cookie里边的Username参数);
2.添加发布者对应的积分(依据检查文章对应信息里边的editor字段)。
通过测验发现此处存在逻辑缝隙,未校验cookie里边Username参数,那么发布资讯时,将editor设置为我们自己的用户名,在检查我们结构的需求花费积分的资讯时,将cookie里边的Username设置为其他用户的用户名。
[1] [2] 黑客接单网