在上一篇文章中重点分析了SQL注入漏洞以及介绍了其修复方案,但是给出的修复方案并没有完全修复SQL注入漏洞。接下来将详细分析未完全修复的SQL注入漏洞的绕过方案和修复方法。
AKun Wallpaper 代码审计实战分析1:https://blog.csdn.net/rpsate/article/details/122354690
AKun Wallpaper 代码审计实战分析2:https://blog.csdn.net/rpsate/article/details/122387998
AKun Wallpaper 代码审计实战分析3:https://blog.csdn.net/rpsate/article/details/122400520
看到 lib/mysql.func.php
第28行,其中 $table
虽然是可变参数,但是其数据不是用户传递得到的,所以该变量安全。但是 $key
是用户传递过来的,它来自$_POST
数组中的键
,所以该变量用户可控。再注意观察,$key
两旁并没有用引,所以这条SQL语句并不需要引号就可以闭合,那么 mysql_real_escape_string
函数在此处也就没有作用了。
只要将payload稍作修改,并将payload写在键值对的 键
中,而不是值
中即可绕过转义函数的限制。如下图所示,发送请求5s后才收到响应包,这说明 sleep(5)
函数执行成功,存在SQL注入漏洞。
payload:
username=test&password=123456&email)/**/values(1,1,sleep(5));#=
执行的SQL语句:
INSERT INTO admin_root(username,password,email)/**/values(1,1,sleep(5));#) VALUES('test','e10adc3949ba59abbe56e057f20f883e','')
此处mysql_real_escape_string
函数无效,那么可以采用白名单的方式来过滤非法字符。$key
代表的是数据表中的字段名,所以可以用所有表中字段名建成一个白名单。将这个白名单写在 lib/mysql.func.php
中,如下图所示:
$allow_columns = array('id', 'username', 'password', 'email', 'imageName', 'imagePath');
然后逐个判断 $key
是否存在白名单中,如果不存在则直接删除这个键值对。
global $allow_columns;
foreach ($data as $key=>$value) {
if (!in_array($key, $allow_columns)) {
unset($data[$key]);
}
}
再次测试,发现 sleep(5)
没有执行。此时SQL注入漏洞已经完全修复。
看到 lib/mysql.func.php
的34行的update函数,该函数中未对传入数据中特殊字符转义,所以存在sql注入漏洞。
在函数中加入下面两行代码对特殊字符进行转义:
$key = mysql_real_escape_string($key);
$value = mysql_real_escape_string($value);
判断 $key
是否在白名单中,不在白名单中则删除该键值对:
global $allow_columns;
foreach ($data as $key=>$value) {
if (!in_array($key, $allow_columns)) {
unset($data[$key]);
}
}
现在虽然处理了参数$data
传入的数据,但是在这个函数中还有一个参数$where
可能存在sql注入漏洞。看到 core/core.php
的44行,此处的id={$id}
即函数 update
中的 $where
。接下来继续寻找 $id
的源头,因为$id
和 $admin_user
的源头不同数据流终点相同,所以依次点击左边 mysql.func.php:41 (Shared Sink) - [0/4]
下面的几个数据流就可以很快找到 $id
的源头。
看到 admin/doAdminAction.php
的第18行,$id
来源于POST数据,然后$id
传递给了updateAdmin
函数。整个数据流中未对 id
进行任何处理,所以一定存在sql注入。
在浏览器中修改用户资料,同时用burpsuite抓取数据包,构造好payload并发送数据包。如下图所示程序成功执行了构造好的payload。
id=2 and sleep(5)&username=test&password=&email=test
要注意其中的 $where
,$where
拼接在SQL语句中WHERE
的后面,那么 $where
的格式应该为 key1='value1' and/or key2='value2'
或者没有引号的key1=value1 and/or key2=value2
。如果 $where
中存在引号则不能直接对 $where
进行转义,需要先对接收到的数据转义,然后再将数据传递给变量$where
。
继续看到 lib/core.php
的第44行,此处$id
为int
型,所以可以通过 intval
函数处理。或者在$id
两旁加上单引号并用 mysql_real_escape_string
函数处理。
在 $id
传入函数前面添加下面代码即可:
$id = intval($id);
再次尝试,发现payload已经无效了。
通过mysql监控工具发现sql语句中的id并不等于 2 and sleep(5)
,而是等于2。因为字符串经过 intval
函数处理后就会变成整数。其他sql注入漏洞修复方法类似,请各位师傅尝试自行修复。
fortify提示没有设置httponly
。如果没有设置 httponly
,那么用户可以通过js获取cookie。如果仅仅是没有设置 httponly
,那么攻击者无法利用这个漏洞。但是这与XSS结合,那么危害就很大了。
登录网站后台,记得勾选记住密码
,这样才会设置cookie。
登录网站后台后按下 F12
调出控制台,然后在控制台输入以下js代码并执行。这句js代码的意思是获取cookie并在控制台输出。执行代码后发现成功输出的cookie。
console.log(document.cookie);
cookie可以分为自定义设置的cookie和标识seesion的cookie。自定义生成的cookie是通过 setcookie
函数或者 setrawcookie
函数设置,这两个函数的第7个参数代表是否设置 httponly
,默认为false
。标识session的cookie,也就是 PHPSESSID
会在启用session的时候存储在浏览器中。 PHPSESSID
开启 httponly
既可以在配置文件 php.ini
中修改session.cookie_httponly = On
也可以使用函数ini_set("session.cookie_httponly", 1)
。要注意的是函数 ini_set
必须放在session_start
函数前面,因为session_start
函数执行的同时 PHPSESSID
就设置好了。
setcookie
和setrawcookie
的区别是前者会对数据进行url编码,后者存储原始数据。
ini_set
函数不能用在php5.2以前的版本。
在文件include.php
中10行添加下列代码:
ini_set("session.cookie_httponly", 1);
然后将所有 cookie
函数的第七个参数设置成 true
,例如 setcookie("adminId", $id, time()+7*24*3600, null, null, null, true);
。
删除所有cookie,再次登录后尝试用js获取cookie,发现已经无法通过js获取cookie了。