看代码学安全（12）误用htmlentities函数引发的漏洞

用户1631416

发布于 2018-12-21 10:43:45

1K0

发布于 2018-12-21 10:43:45

文章被收录于专栏：玄魂工作室玄魂工作室

原文链接：https://zhuanlan.zhihu.com/p/47353814

本文由红日安全成员： l1nk3r 编写，如有不当，还望斧正。

前言

大家好，我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目，供大家学习交流，我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章，属于项目第一阶段的内容，本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目，我们均给出对应的分析，并结合实际CMS进行解说。在文章的最后，我们还会留一道CTF题目，供大家练习，希望大家喜欢。下面是第12篇代码审计文章：

Day 12 - String Lights

题目代码如下：

漏洞解析：

根据题目意思，这里考察的应该是个 xss漏洞，漏洞触发点应该在代码中的第13-14行。这两行代码的作用是直接输出一个html的 <a> 标签。代码中的第3-5行，foreach循环对 $_GET 传入的参数进行了处理，但是这里有个问题。我们看下第四行的代码，这行代码针对 $value 进行类型转换，强制变成int类型。但是这部分代码只处理了 $value 变量，没针对 $key 变量进行处理。经过了第3-5行的代码处理之后，根据 & 这个符号进行分割，然后拼接到第13行的 echo 语句中，在输出的时候又进行了一次 htmlentities 函数处理。 htmlentities 函数主要是会对一些特殊符号进行HTML实体编码。具体定义如下：

htmlentities — 将字符转换为 HTML 转义字符 string htmlentities ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string $encoding = ini_get("default_charset") [, bool $double_encode = true ]]] ) 作用：在写PHP代码时，不能在字符串中直接写实体字符，PHP提供了一个将HTML特殊字符转换成实体字符的函数 htmlentities()。

注：htmlentities() 并不能转换所有的特殊字符，是转换除了空格之外的特殊字符，且单引号和双引号需要单独控制（通过第二个参数）。第2个参数取值有3种，分别如下：

ENT_COMPAT（默认值）：只转换双引号。
ENT_QUOTES：两种引号都转换。
ENT_NOQUOTES：两种引号都不转换。

这里附上一个 HTML 中有用的字符实体表

经过上面的分析，我们再回到题目，想想如何构造一下攻击 payload 。我们先梳理一些已知信息：

这里的 $query 参数可控
且 htmlentities 函数在这里可逃逸单引号
xss的漏洞触发点在 <a> 标签。

在 <a> 中，我们可以通过 javascript 事件来执行js代码，例如： onclick 这类事件，因此最后的poc构造如下：

/?a'onclick%3dalert(1)%2f%2f=c

实例分析

本次实例分析选择 DM企业建站系统 v201710 中的 sql注入漏洞来进行分析。首先，我们可以从cnvd上面看到一些相关信息，如下：

从漏洞通告中可以发现一些有用的信息，漏洞位置在登陆处，搭建的时候提示后台登陆口位置在 admindm-yourname/g.php 文件中，打开这个文件，发现重定向到 admindm-yournamemod_common/login.php 文件中，所以漏洞触发点应该就在这个文件中。

打开 admindm-yournamemod_common/login.php 这个文件，一眼就看到漏洞位置，截取部分相关代码如下：

第15行很明显存在sql注入漏洞，通过拼接的方式直接插入到select语句中。第15行中的 $user变量是通过 POST 方式提交上来，其值可控。但是上图的第3行代码调用 htmlentitiesdm 函数，对 POST 数据进行了处理，我们跟进这个 htmlentitiesdm 函数。该函数位置在 component/dm-config/global.common.php 文件中，截取关键代码如下：