【漏洞练习-Day17】php中 md5(xxx,true)引发的漏洞

开始练习【红日团队】的PHP-Audit-Labs 代码审计 Day17
链接:https://github.com/hongriSec/PHP-Audit-Labs
感兴趣的同学可以去练习练习
预备知识:
内容题目均来自 PHP SECURITY CALENDAR 2017
Day 17 - Mistletoe代码如下:

class RealSecureLoginManager {
  private $em;
  private $user;
  private $password;

  public function __construct($user, $password) {
    $this->em = DoctrineManager::getEntityManager();
    $this->user = $user;
    $this->password = $password;
  }

  public function isValid() {
    $pass = md5($this->password, true);
    $user = $this->sanitizeInput($this->user);

    $queryBuilder = $this->em->createQueryBuilder()
      ->select("COUNT(p)")
      ->from("User", "u")
      ->where("password = '$pass' AND user = '$user'");
    $query = $queryBuilder->getQuery();
    return boolval($query->getSingleScalarResult());
  }

  public function sanitizeInput($input) {
    return addslashes($input);
  }
}

$auth = new RealSecureLoginManager(
  $_POST['user'],
  $_POST['passwd']
);
if (!$auth->isValid()) {
  exit;
}

漏洞解析 :

这题实际上和我们之前分析Day13 很相似,从 第17行-20行 代码中

明显存在SQL语句拼接的形式,而 $pass 变量和$user变量是在 第30行和31行中通过 POST 方式由用户进行控制。这里很明显存在SQL注入漏洞,所以这题应该是考察SQL注入漏洞。

    $queryBuilder = $this->em->createQueryBuilder()
      ->select("COUNT(p)")
      ->from("User", "u")
      ->where("password = '$pass' AND user = '$user'");
    $query = $queryBuilder->getQuery();

这里为什么说这题和Day13很相似呢,我们继续往下看。程序代码第14行调用 sanitizeInput函数

    $user = $this->sanitizeInput($this->user);

针对用户输入的$user变量进行了处理,跟进一下sanitizeInput 函数,在第24行找到这个函数。

  public function sanitizeInput($input) {
    return addslashes($input);
  }

这个函数的作用就是调用 addslashes 函数针对输入数据进行处理。
具体定义如下:

addslashes() 函数:

(PHP 4, PHP 5, PHP 7)

功能:

addslashes() 函数返回在预定义的字符前添加反斜杠的字符串。

预定义字符是:

  • 单引号(’)
  • 双引号(")
  • 反斜杠(\)
  • NULL
定义:
addslashes(string)
说明:
参数 描述
string 必需。规定要转义的字符串。
范例:

在这里插入图片描述
结果:

Who’s Peter Griffin? This is not safe in a database query.
Who’s Peter Griffin? This is safe in a database query.

回到题目:
所以按照这种情况下这个地方,似乎不存在注入点了,先别急,我们继续往下看,我们看到 第13行 代码

    $pass = md5($this->password, true);

针对用户输入 password 的值调用 md5函数进行相关处理。我们先来了解一下这个 md5 函数

md5 — 计算字符串的 MD5 散列值

功能:

md5() 函数计算字符串的 MD5 散列。

定义:

string md5 ( string $str [, bool $raw_output = false ] )

说明:
参数 描述
string 必需。规定要计算的字符串。
raw_output 可选。规定十六进制或二进制输出格式:TRUE - 原始 16 字符二进制格式;FALSE - 默认。32 字符十六进制数

回到题目:
13行代码
这里在 $raw_output位置设置为了true,根据描述

如果可选的raw_output被设置为 TRUE,那么 MD5 报文摘要将以16字节长度的原始二进制格式返回。

那我们先来看看效果
在这里插入图片描述
现在整理一下这道题,我们知道我可以控制的点有两个变量,一个是$user ,一个是 $pass$pass经过了md5的处理,但是返回字段不是标准的md5值,$user经过了 addslashes 函数的处理,无法引入特殊符号去闭合。这里做个假设,如果我们经过 $pass = md5($this->password, true);处理之后的值逃逸出一个反斜杆,那么实际上带入到数据库的值就如下所示:
select count(p) from user s where password='xxxxxx\' and user='xxx#'

如果这种情况发生,实际上也存在了SQL注入。我们尝试fuzz一下,看看会不会存在某个值经过了md5(xxx, true)处理之后,最后一位是反斜杠
【漏洞练习-Day17】php中 md5(xxx,true)引发的漏洞_第1张图片
我们针对1-1000进行一下fuzz,发现 md5(128, true)最后的结果带有反斜杠。因此这题最后的payload如下:

user= OR 1=1#&passwd=128

带入到数据库查询的语句如下:

select count(p) from user s where password='v�a�n���l���q��\' and user=' OR 1=1#'

最后我们之前 Day13 也是通过逃逸反斜杆,转义单引号,从而逃逸出一个单引号闭合了之前的SQL语句,之前 Day13 的payload如下所示:

select count(p) from user where user = '1234567890123456789\' AND password = 'or 1=1#'

这里也是因为SQL语句中有两个地方可控,因此,我们也可以通过这个办法造成SQL注入的问题,所以我才会说这道题实际上和 Day13 很相似。

实例分析:

由于找不到由 md5(xxx,true) 函数引起的漏洞实例,所以本次实例分析选择实验吧的一道CTF题目,进行分析

题目地址

漏洞POC 本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

漏洞分析:

首先打开该题目提示后台登陆
【漏洞练习-Day17】php中 md5(xxx,true)引发的漏洞_第2张图片

猜测可能是个注入的题目,先看看有没有相关信息泄漏,右键源代码,发现泄漏的登陆逻辑代码。

	$password=$_POST['password'];
	$sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'";
	$result=mysqli_query($link,$sql);
		if(mysqli_num_rows($result)>0){
			echo 'flag is :'.$flag;
		}
		else{
			echo '密码错误!';
		}

从上面代码中的 第4行可以看到,当查询结果返回大于0的时候,就会输出 flag ,我们前面分析过当 md5函数的 $raw_output设置会true的时候, md5函数返回前16字节长度的原始二进制,然后再将二进制转换成字符串,这种情况下可能会引入单引号等特殊字符。

这里贴上两个别人构造好的字符串:

content: 129581926211651571912466741651878684928 (这是我们输入的字符串,用来进行md5编码)

hex: 06da5430449f8f6f23dfc1276f722738  (编码后得到的二进制字节码,用16进制的形式表示)

raw: \x06\xdaT0D\x9f\x8fo#\xdf\xc1'or'8

string: T0Do#'or'8 (这是通过二进制字节码在utf-8编码下显示出来的字符串)
content: ffifdyop

hex: 276f722736c95d99e921722cf9ed621c

raw: 'or'6\xc9]\x99\xe9!r,\xf9\xedb\x1c

string: 'or'6]!r,b

经过试验,两个都是成功的。把content的内容复制到输入框里就得到flag

修复建议:

建议在使用 md5 函数的时候,不要将 $raw_output 字段设置为true 。

结语

再次感谢【红日团队】

你可能感兴趣的:(技术)