此次漏洞复现搭建环境:php5.4.6+phpstudy+windows
1.首先获取bluecms源码并导入到phpstorm方便后续的代码审计,定位漏洞代码
在phpstorm可以使用快捷键shift+ctrl+f使用全局搜索功能并且支持正则匹配,通过这段查询语句(update|select|insert|delete|).?where.= 来匹配sql语句寻找漏洞代码。
通过查询结果可以看到有非常多的结果,这个时候就需要通过一些技巧来快速定位可能存在漏洞的代码(能够直接利用的sql注入)
(1)可以通过查询到代码的位置在那个文件中来判断就像图中查询结果的文件名是后台地址这种sql语句一般实在后台管理面板这种情况即便存在漏洞也需要登陆后台所有利用起来就相对比较困难和鸡肋
(2)通过看查看sql语句中是否有可控变量
(3)sql语句中对可控变量是否有函数就进行过滤,就比如这个查询结果里有intval()函数将结果转换成整数类型即便传入了注入语句也会被当作整数类型处理,虽然这个函数具有绕过方法但是我们代码审计的思路就是要优先找到最脆弱的地方并且利用,这样才能够大大提高效率和发现漏洞概率
*
2审计漏洞代码
复现的漏洞代码在ad_js.php文件中这段php文件整体代码量并不大
可以看到sql语句如下
$ad = $db->getone("SELECT * FROM ".table('ad')." WHERE ad_id =".$ad_id);
可以看到是有可控参数的并且也是直接拼接sql语句符合sql注入
(1)这个时候我们需要查看代码上下文判断$ad_id参数是如何传参的
$ad_id = !empty($_GET['ad_id']) ? trim($_GET['ad_id']) : '';
最后发现这段语句是控制变量的并且发现只有这两个empty()和trim()函数对ad_id参数进行了过滤但是并不影响我们的sql注入一个只是判断参数是否为空还有一个会过滤掉首尾部的空格虽然trim()函数具有过滤指定字符的效果但是他并没有指定
(2)判断完参数我们再看看sql语句中还有一个函数getone()
我们通过对函数的追踪可以发现他就是将sql语句传入数据库并执行并且将执行结果提取出来的函数的
这个时候代码部分看完了发现确实存在sql注入我们就要开始进行验证了
3漏洞复现
通过访问/ad_js.php?ad_id发现页面显示error通过前面的上下文代码判断可以发现是因为ad_id参数没有传入任何值就会显示error
这个时候我们传入注入语句
?ad_id=1 union select 1,2,3,4,5,6,7 #
通过上面的sql语句可以看出这个地方是一个数字型注入所以不需要闭合,在sql语句中可以看到.table('ad')查询的是以为ad为后缀的表我通过查看对应的表可以发现有七个字段
我们通过联合注入来判断回显在哪,通过注入发现7是回显字段然后也证明了注入成功
最后在简单查看一下当前数据库
至此这次代码审计就算结束了