Finger
一只孤独的代码狗/程序猿/攻城狮

在审计某套系统的时候,发现了一处注入,但是按照系统的正常逻辑需要有管理员权限才可以,才可以进行注入,于是就想着突破一下权限检测,结果成功了

  1. elseif($act == 'get_jobs')
  2. {
  3. $type=trim($_GET['type']);
  4. $key=trim($_GET['key']);
  5. if (strcasecmp(XXXX_DBCHARSET,"utf8")!=0)
  6. {
  7. $key=iconv("utf-8",XXXX_DBCHARSET,$key);
  8. }
  9. if ($type=="get_id")
  10. {
  11. $id=intval($key);
  12. $sql = "select * from ".table('jobs')." where id='{$id}'  LIMIT 1";
  13. }
  14. elseif ($type=="get_jobname")
  15. {
  16. $sql = "select * from ".table('jobs')." where jobs_name like '%{$key}%'  LIMIT 30";
  17. }
  18. elseif ($type=="get_comname")
  19. {
  20. $sql = "select * from ".table('jobs')." where companyname like '%{$key}%'  LIMIT 30";
  21. }
  22. elseif ($type=="get_uid")
  23. {
  24. $uid=intval($key);
  25. $sql = "select * from ".table('jobs')." where uid='{$uid}'  LIMIT 30";
  26. }
  27. else
  28. {
  29. exit();
  30. }
  31. [/b][/color][/size]
  32. [size=2][color=#000000][b]

复制代码

$sql = "select * from ".table('jobs')." where jobs_name like '%{$key}%'  LIMIT 30";
系统对get,post,cookie都做了addslashes,上面这行代码有引号保护正常来说不能注入,但是
if (strcasecmp(XXXX_DBCHARSET,"utf8")!=0)
{
$key=iconv("utf-8",XXXX_DBCHARSET,$key);
}        
这个常量XXXX_DBCHARSET被定义为GBK,所以
$key=iconv("utf-8",XXXX_DBCHARSET,$key);
会把utf-8转换为gbk,编码转换,造成的宽字节注入
不过开头的地方include了一个权限检查文件,也就是说要注入,必须先绕过里面的权限检查代码

  1. if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')

复制代码


if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')
开头有这么一句代码,也就是说要执行下面这段权限检查代码,必须先满足这个条件,但是这里
$_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout'

$_REQUEST这个数组的数据来自$_POST,$_GET,$_COOKIE这些地方,是可控的,所以只要让值登录这三个的任意一个就可以绕过权限检查代码

但是系统是根据$act这个值来判断执行那段代码的

elseif($act == 'get_jobs')
如果不等于get_jobs,不就不会执行这段代码了,然后又仔细看了一下代码,发现了突破口

检查权限的文件接收$act用的是$_REQUEST
而这个存在注入的文件接收注入用的是$_GET
而测试的时候发现,$_REQUEST接收一个变量的时候会先查找POST数组里面的
下面是一段验证代码

  1. <?php
  2. echo $_REQUEST['act'];
  3. ?>

复制代码


看下面的三张截图,先在GET参数中输入act,发现REQUEST,接收了GET的act,然后再在POST参数输入act,发现REQUEST,接收了POST参数输入的act,最后一张图是重点,如果同时在GET和POST参数中输入act这个变量,REQUEST会优先接收POST的

所以可以利用这一点来突破权限检测
if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')
在POST中输入act为login,这样这个条件就不成立,然后再在GET中输入act为get_jobs
elseif($act == 'get_jobs')
这样就会执行这个分支了

然后就注入成功了

这篇文章还没有人发言,快抢第一!

发表评论