代码审计:躺在床上读代码之phpcms sql注射漏洞

  • A+
所属分类:Seay信息安全博客

显示不全请点击全屏阅读

躺在床上读代码之phpcms [0x01]
在phpcms/modules/formguide/index.php中的57行。

 
$formguide_input = new formguide_input($formid);
$data = $formguide_input->get($_POST[‘info’]);
 
这里调用了一个class,formguide_input,然后get函数处理了$_POST过来的info,那么,我们看看这个get函数
 
 
function get($data,$isimport = 0) {
$this->data = $data;
$info = array();
foreach($this->fields as $field) {
…… 省略几行也不会死
$value = $data[$field[‘field’]];
//在这里的value使用了data的值,data就是$_POST[‘info’]
 
…… 省略几行也不会死
 
if($maxlength && $length > $maxlength) {
if($isimport) {
$value = str_cut($value,$maxlength,”);
//value使用了str_cut截取了字节
} else {
showmessage($name.’ ‘.L(‘not_more_than’).’ ‘.$maxlength.L(‘characters’));
}
} elseif($maxlength) {
$value = str_cut($value,$maxlength,”);
//又一次截取
}
 
省略……
return $info;
 
str_cut函数是phpcms自定义的截取函数,第三个参数是控制dot是不是…,所以这里截取的时候当value是123\’的时候,如果截取字段是4的话,将截取出一个反斜线\出来。
 
而后这部分的变量进入了insert
 
在phpcms/modules/formguide/index.php中的63行。
$dataid = $this->m_db->insert($data, true);
 
导致了SQL注射漏洞
 
以下为str_cut的代码
 
function str_cut($string, $length, $dot = ‘…’) {
$strlen = strlen($string);
if($strlen <= $length) return $string;
$string = str_replace(array(‘ ‘,’&nbsp;’, ‘&amp;’, ‘&quot;’, ‘&#039;’, ‘&ldquo;’, ‘&rdquo;’, ‘&mdash;’, ‘&lt;’, ‘&gt;’, ‘&middot;’, ‘&hellip;’), array(‘∵’,’ ‘, ‘&’, ‘”‘, “‘”, ‘“’, ‘”’, ‘—’, ‘<‘, ‘>’, ‘·’, ‘…’), $string);
$strcut = ”;
if(strtolower(CHARSET) == ‘utf-8’) {
$length = intval($length-strlen($dot)-$length/3);
$n = $tn = $noc = 0;
while($n < strlen($string)) {
$t = ord($string[$n]);
if($t == 9 || $t == 10 || (32 <= $t && $t <= 126)) {
$tn = 1; $n++; $noc++;
} elseif(194 <= $t && $t <= 223) {
$tn = 2; $n += 2; $noc += 2;
} elseif(224 <= $t && $t <= 239) {
$tn = 3; $n += 3; $noc += 2;
} elseif(240 <= $t && $t <= 247) {
$tn = 4; $n += 4; $noc += 2;
} elseif(248 <= $t && $t <= 251) {
$tn = 5; $n += 5; $noc += 2;
} elseif($t == 252 || $t == 253) {
$tn = 6; $n += 6; $noc += 2;
} else {
$n++;
}
if($noc >= $length) {
break;
}
}
if($noc > $length) {
$n -= $tn;
}
$strcut = substr($string, 0, $n);
$strcut = str_replace(array(‘∵’, ‘&’, ‘”‘, “‘”, ‘“’, ‘”’, ‘—’, ‘<‘, ‘>’, ‘·’, ‘…’), array(‘ ‘, ‘&amp;’, ‘&quot;’, ‘&#039;’, ‘&ldquo;’, ‘&rdquo;’, ‘&mdash;’, ‘&lt;’, ‘&gt;’, ‘&middot;’, ‘&hellip;’), $strcut);
} else {
$dotlen = strlen($dot);
$maxi = $length – $dotlen – 1;
$current_str = ”;
$search_arr = array(‘&’,’ ‘, ‘”‘, “‘”, ‘“’, ‘”’, ‘—’, ‘<‘, ‘>’, ‘·’, ‘…’,’∵’);
$replace_arr = array(‘&amp;’,’&nbsp;’, ‘&quot;’, ‘&#039;’, ‘&ldquo;’, ‘&rdquo;’, ‘&mdash;’, ‘&lt;’, ‘&gt;’, ‘&middot;’, ‘&hellip;’,’ ‘);
$search_flip = array_flip($search_arr);
for ($i = 0; $i < $maxi; $i++) {
$current_str = ord($string[$i]) > 127 ? $string[$i].$string[++$i] : $string[$i];
if (in_array($current_str, $search_arr)) {
$key = $search_flip[$current_str];
$current_str = str_replace($search_arr[$key], $replace_arr[$key], $current_str);
}
$strcut .= $current_str;
}
}
return $strcut.$dot;
}
 
我想证明一下,可是这个功能在我本地测试失败,该表不存在,但是漏洞步骤确实如上。
修复方案:进入数据库的东西不能随意取消dot的。

Tags:

phpcms漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
代码审计:躺在床上读代码之phpcms sql注射漏洞