作者:phith0n@长亭科技
Metinfo 8月1日升级了版本,修复了一个影响小于等于 5.3.17 版本(几乎可以追溯到所有5.x版本)的 SQL 注入漏洞。这个 SQL 注入漏洞不受软 WAF 影响,可以直接获取数据,影响较广。
漏洞出现在 /include/global.func.php
文件的 jump_pseudo
函数:
<?php
/*静态页面跳转*/
function jump_pseudo(){
global $db,$met_skin_user,$pseudo_jump;
global $met_column,$met_news,$met_product,$met_download,$met_img,$met_job;
global $class1,$class2,$class3,$id,$lang,$page,$selectedjob;
global $met_index_type,$index,$met_pseudo;
if($met_pseudo){
$metadmin[pagename]=1;
$pseudo_url=$_SERVER[HTTP_X_REWRITE_URL]?$_SERVER[HTTP_X_REWRITE_URL]:$_SERVER[REQUEST_URI];
$pseudo_jump=@strstr($_SERVER['SERVER_SOFTWARE'],'IIS')&&$_SERVER[HTTP_X_REWRITE_URL]==''?1:$pseudo_jump;
$dirs=explode('/',$pseudo_url);
$dir_dirname=$dirs[count($dirs)-2];
$dir_filename=$dirs[count($dirs)-1];
if($pseudo_jump!=1){
$dir_filenames=explode('?',$dir_filename);
switch($dir_filenames[0]){
case 'index.php':
if(!$class1&&!$class2&&!$class3){
if($index=='index'){
if($lang==$met_index_type){
$jump['url']='./';
}else{
$jump['url']='index-'.$lang.'.html';
}
}else{
if($lang==$met_index_type){
$jump['url']='./';
}else{
$id=$class3?$class3:($class2?$class2:$class1);
if($id){
$query="select * from $met_column where id='$id'";
}else{
$query="select * from $met_column where foldername='$dir_dirname' and lang='$lang' and (classtype='1' or releclass!='0') order by id asc";
}
$jump=$db->get_one($query);
$psid= ($jump['filename']<>"" and $metadmin['pagename'])?$jump['filename']:$jump['id'];
if($jump[module]==1){
$jump['url']='./'.$psid.'-'.$lang.'.html';
}else if($jump[module]==8){
$jump['url']='./'.'index-'.$lang.'.html';
}
else{
if($page&&$page!=1)$psid.='-'.$page;
$jump['url']='./'.'list-'.$psid.'-'.$lang.'.html';
}
}
}
...
}
代码截的不全,只关注一下这几个操作:
$pseudo_url=$_SERVER[HTTP_X_REWRITE_URL]?$_SERVER[HTTP_X_REWRITE_URL]:$_SERVER[REQUEST_URI];
: 从$_SERVER[HTTP_X_REWRITE_URL]
中获取$pseudo_url
变量$dirs=explode('/',$pseudo_url);
:将$pseudo_url
变量用斜线分割成$dirs
数组$dir_dirname=$dirs[count($dirs)-2];
:获取$dirs
的倒数第二个元素作为$dir_dirname
变量$query="select * from $met_column where foldername='$dir_dirname' and lang='$lang' and (classtype='1' or releclass!='0') order by id asc";
:$dir_dirname
变量被拼接进SQL语句所以,通过分析可知,$_SERVER[HTTP_X_REWRITE_URL]
的一部分,最终被拼接进 SQL 语句。那么,如果
Metinfo 没有对 HTTP 头进行验证的情况下,将导致一个 SQL 注入漏洞。
看一下 Metinfo 对于变量的获取方式:
<?php
foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
foreach($$_request as $_key => $_value) {
$_key{0} != '_' && $$_key = daddslashes($_value,0,0,1);
$_M['form'][$_key] = daddslashes($_value,0,0,1);
}
}
使用daddslashes
函数过滤GPC变量,daddslashes
这个函数确实很讨厌,不光有转义,而且有很不友好的软 WAF。但我们这里这个注入点是来自于 SERVER 变量,所以是不受软 WAF 影响的。
那么,我们看看如何才能进入这个注入的位置。
jump_pseudo
函数前面有一些条件语句,归纳一下主要有下面几个:
if($met_pseudo)...
if($pseudo_jump!=1)...
switch($dir_filenames[0]){ case 'index.php':...
if(!$class1&&!$class2&&!$class3)...
if($index=='index')...
if($lang==$met_index_type)...
翻译成汉字,大意就是:
$met_pseudo
必须为真。$met_pseudo
这个变量是指系统是否开启了伪静态,也就说这个漏洞需要开启伪静态才能够利用。$pseudo_jump
不等于1。这个条件,只要$_SERVER[HTTP_X_REWRITE_URL]
有值即可满足。$dir_filenames[0
]必须等于'index.php'
,这个变量是可控的。class1
、class2
、class
3不能有值。这个条件,只要我访问的是index.php
,并且不主动传入这三个参数,即可满足。$index
不能等于'index'
,这个变量也是可控的,传入参数index=xxxx
即可$lang
不能等于$met_index_type
这6个条件语句中,2~5中的变量都可控,1中的变量只要开启伪静态即可满足,唯独6需要单独分析一下。$lang
是我们传入的参数,代表给访客显示的语言是什么。Metinfo 默认安装时,将存在3种语言:简体中文(cn)、英文(en)、繁体中文(tc),而$met_index_type
表示默认语言类型,默认是中文,也就是cn。
而 Metinfo 的配置(包括伪静态相关的配置),是和语言有关系的,不同语言的配置不相同。默认情况下,如果管理员在后台开启伪静态,将只会修改lang=cn时的配置。
那么,正常情况下,我们传入index.php?lang=cn
,将会导致if($lang==$met_index_type)...
这个条件成立,也就没法进入SQL注入的语句中;如果我们传入index.php?lang=en
,又导致伪静态配置恢复默认,也就是$met_pseudo = 0
,导致进不去步骤1的if语句;如果我们传入一个不存在的lang,比如index.php?lang=xxx
,将会导致报错:No data in the database,please reinstall.
这就比较蛋疼。此时,就需要利用到Mysql的一个特性。
Mysql 对于内容的存储方式,有如下两个概念:字符集(character set)和collation(比对方法)。
二者组合成 Mysql 的字符格式,一般来说分为这两类:
<character set>_<language/other>_<ci/cs>
<character set>_bin
比如,最常用的utf8_general_ci
,就是第一种格式。
我们这里需要关注的就是最后一串:ci、cs、bin,这三个究竟是什么?
ci 其实就是 case insensitive (大小写不敏感)的缩写, cs 是 case sensitive (大小写敏感)的缩写。也就是说,当我们用的字符格式是utf8_general_ci
时,Mysql中比对字符串的时候是大小写不敏感的。
bin 指的是比较的时候,按照二进制的方式比较,这种情况下就不存在大小写的问题了。bin方式还可以解决有些小语种上的特性,这个就不展开说了。
我们随便找了个数据表,做个小实验:
可见上图,虽然我查询的 SQL 语句是SELECT * FROM `wp_users` WHERE `user_login`='AdmIN'
,但实际上查询出来了用户名是admin的用户账户。
回到 Metinfo,我们可以利用 0x03 中说到的 Mysql 特点,来绕过if($lang==$met_index_type)...
的判断。
我们来看看 Metinfo 是如何获取系统配置的:
<?php
/*默认语言*/
$met_index_type = $db->get_one("SELECT * FROM $met_config WHERE name='met_index_type' and lang='metinfo'");
$met_index_type = $met_index_type['value'];
$lang=($lang=="")?$met_index_type:$lang;
$langoks = $db->get_one("SELECT * FROM $met_lang WHERE lang='$lang'");
if(!$langoks)die('No data in the database,please reinstall.');
if(!$langoks[useok]&&!$metinfoadminok)okinfo('../404.html');
if(count($met_langok)==1)$lang=$met_index_type;
/*读配置数据*/
$_M[config][tablepre]=$tablepre;
$query = "SELECT * FROM $met_config WHERE lang='$lang' or lang='metinfo'";
$result = $db->query($query);
while($list_config= $db->fetch_array($result)){
$_M[config][$list_config['name']]=$list_config['value'];
if($metinfoadminok)$list_config['value']=str_replace('"', '"', str_replace("'", ''',$list_config['value']));
$settings_arr[]=$list_config;
if($list_config['columnid']){
$settings[$list_config['name'].'_'.$list_config['columnid']]=$list_config['value'];
}else{
$settings[$list_config['name']]=$list_config['value'];
}
if($list_config['flashid']){
$list_config['value']=explode('|',$list_config['value']);
$falshval['type']=$list_config['value'][0];
$falshval['x']=$list_config['value'][1];
$falshval['y']=$list_config['value'][2];
$falshval['imgtype']=$list_config['value'][3];
$list_config['mobile_value']=explode('|',$list_config['mobile_value']);
$falshval['wap_type']=$list_config['mobile_value'][0];
$falshval['wap_y']=$list_config['mobile_value'][1];
$met_flasharray[$list_config['flashid']]=$falshval;
}
}
$_M[lang]=$lang;
@extract($settings);
可见,这里执行了这条SQL语句SELECT * FROM $met_config WHERE lang='$lang' or lang='metinfo
',然后将结果extract
到上下文中。
而$met_config
这个表,格式就是utf8_general_ci
,大小写不敏感。
所以,我只需要传入index.php?lang=Cn
,在执行上述SQL语句的时候,不影响SQL语句的执行结果;而在进行if($lang==$met_index_type)...
比较的时候,Cn != cn
,成功进入else语句。
最后,构造下面数据包,注入获取结果:
主要条件就是,需要管理员开启伪静态:
没有什么其他条件了,无需登录即可触发。