转载

Destoon 6.0 guestbook.php 通用SQL注入漏洞

Destoon 6.0 guestbook.php 通用SQL注入漏洞

刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在【代码审计】小密圈里说过的方法,瞬间找到修复的一处SQL注入漏洞。用中午的20分钟,小小地分析一下。

我们先看看diff(左新右老):

Destoon 6.0 guestbook.php 通用SQL注入漏洞

mobile/guestbook.php 中将 $_SERVER['HTTP_USER_AGENT'] 删掉了。分析一下,这里是手机端的留言板,destoon将用户的User-Agent放入了留言内容变量 $post[content] 中。

而据我对destoon的了解,其全局对GPC做了转义和WAF,但User-Agent没有进行过滤,所以这里有可能存在一个SQL注入漏洞。

所以往后看看吧,其调用了guestbook类的add方法,将 $post 变量传入:

function add($post) {
    $post = $this->set($post);
    $sqlk = $sqlv = '';
    foreach($post as $k=>$v) {
        if(in_array($k, $this->fields)) { $sqlk .= ','.$k; $sqlv .= ",'$v'"; }
    }
    $sqlk = substr($sqlk, 1);
    $sqlv = substr($sqlv, 1);
    $this->db->query("INSERT INTO {$this->table} ($sqlk) VALUES ($sqlv)");
    return $this->itemid;
}

这里调用了 $this->set($post) 进行处理,跟进:

function set($post) {
    global $DT_TIME, $_username, $DT_IP, $TYPE;
    $post['content'] = strip_tags($post['content']);
    $post['title'] = in_array($post['type'], $TYPE) ? '['.$post['type'].']' : '';
    $post['title'] .= dsubstr($post['content'], 30);
    $post['title'] = daddslashes($post['title']);
    $post['hidden'] = isset($post['hidden']) ? 1 : 0;
    if($this->itemid) {
        $post['status'] = $post['status'] == 2 ? 2 : 3;
        $post['editor'] = $_username;
        $post['edittime'] = $DT_TIME;
    } else {
        $post['username'] = $_username;
        $post['addtime'] =  $DT_TIME;
        $post['ip'] =  $DT_IP;
        $post['edittime'] = 0;
        $post['reply'] = '';
        $post['status'] = 2;
    }
    $post = dhtmlspecialchars($post);
    return array_map("trim", $post);
}

简单分析可以发现,以下几点:

  1. content 有如下过程: strip_tags -> htmlspecialchars -> trim
  2. title 有如下过程: in_array($post['type'], $TYPE) ? '['.$post['type'].']' : '' -> substr($post['content'], 30) -> addslashes -> trim

先看content,因为destoon中的htmlspecialchars是设置了 ENT_QUOTES 参数的,所以单引号也被转义了,我们无法直接逃逸出单引号,但因为 / 没有转义,所以我们可以利用content来消灭掉一个单引号。

紧跟其后的title,又是从content中截取了三十个字符(令 $post['type'] 为空),所以我们大概可以构造出这样一个content: ,user(),0,0,0,0,0,0,2);.../

最后执行的SQL语句如下:

Destoon 6.0 guestbook.php 通用SQL注入漏洞

但上述SQL语句有个问题,因为原信息有一部分 --来自','0','','1484286570','10.211.55.2','0','','2') 是被我们抛弃了,这部分又没法注释(因为有换行),在执行的过程中就会出错,导致执行失败。

怎么办呢?

其实这里之所以不能执行,就是因为有一个换行符/n,但因为前面存在一个 substr($post['content'], 30) ,所以我们只需要将长度设置的大于30,就能让换行符被切掉。

所以,我最后得到的payload如下: ,0,0,0,0,0,0,user(),3)########## ,再将UA最后一位设置为 / ,如下图:

Destoon 6.0 guestbook.php 通用SQL注入漏洞

就能成功在reply的位置注入信息出来啦:

Destoon 6.0 guestbook.php 通用SQL注入漏洞

不过大家也看到了,这个注入有个30字符的限制,所以要注意一下几点:

  1. 怎么绕过长度限制,这个集思广益吧
  2. 一定要以游客身份留言,否则会有更多没意义的键使长度限制更大

最后感叹一下吧,这个漏洞其实有意思的一点在于,他和很多CTF里出现的题目一样,但又是那么巧合——巧合的是,content前面的部分进行了addslashes,最后的部分没有addslashes,却有htmlspecialchars。

也就说,后面的部分没有单引号,却有反斜线;前面的部分没有反斜线,却有多出来的一个单引号。二者相结合,构成了一个SQL注入漏洞。

最后,请使用者尽快升级20170109版本吧,以修复这个漏洞。另外,经过我神器的检查,这个漏洞在v6.0版本就存在了,大概时间是2015年9月开始。

==== 分割线 ====

这个链接最下方,有【代码审计】小密圈的加入方式: https://www.leavesongs.com/tinger.html

原文  https://www.leavesongs.com/PENETRATION/destoon-v6-0-sql-injection.html
正文到此结束
Loading...