然之协同系统6.4.1 SQL注入导致getshell

Author Avatar
hac425 3月 12, 2018
  • 在其它设备中阅读本文章

前言

先知上一个大佬挖的洞,也有了简单的分析

1
https://xianzhi.aliyun.com/forum/topic/2135

我自己复现分析过程,漏洞的原理比较简单,但是漏洞的利用方式对我而言则是一种新的利用方式。本文对分析过程做一个记录。

正文

分析软件运行的流程

拿到一个需要分析的 php 程序,首先看看客户端的 http 请求是如何对应到程序中的代码的。

首先得找一个分析的开始点,就以 触发漏洞 的 请求为示例把。

1
2
3
4
5
6
7
8
9
10
11
GET /cash/block-printTradeBlock.html?param=eyJvcmRlckJ5IjoiaWQgbGltaXQgMCwxO3NlbGVjdCBpZigxPTIsMSxzbGVlcCgyKSkjIiB9 HTTP/1.1
Host: hack.ranzhi.top
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=2c17fafndhnfle6j4r9dskopk3; lang=zh-cn; theme=default; rid=kcvhkos22q574sqdjiha39icl5; keepLogin=false; XDEBUG_SESSION=14822
Connection: close

安装系统时我们设置 www 目录为虚拟主机目录, 所以当我们访问 /cash/block-printTradeBlock.html 时,实际上访问的是 www/cash/block-printTradeBlock.html, 但是 cash 目录中并没有相关的文件

paste image

不过该目录下有 .htaccess 文件,通过该文件可以重写 url, 根据规则我们知道,如果访问 cash 目录下不存在的文件,会把请求交给 index.php 处理。

.htaccess 文件参考

1
2
http://t.cn/REFVyCJ
https://www.zybuluo.com/phper/note/73726

那下面就分析 index.php 即可,下好断点,然后发送数据包

paste image
f7 跟进 loader.php, 首先加载了一些基础类。

paste image

然后做一些初始化的操作,实例化一些基础对象,后面用来加载程序的主体

paste image

然后是设置路由方式

1
$app->parseRequest();

paste image

paste image

会对 处理后 url- 分割,第一项作为 module_name 第二项作为 method_name. 以上面的数据包为例。执行完后的结果如下。

paste image

此时我们已经设置好了 模块名 和 方法名, 下面回到 loader.php

1
2
$common->checkPriv();  # 权限校验
$app->loadModule();		#  加载相关模块的方法

进入 loadModule 方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
public function loadModule()
  {
      $appName    = $this->appName;
      $moduleName = $this->moduleName;
      $methodName = $this->methodName;
      
      /*
       * 设置control的类名。
       * Set the class name of the control.
       **/
      $className = class_exists("my$moduleName") ? "my$moduleName" : $moduleName;
      /*
       * 创建control类的实例。
       * 根据 `$app->parseRequest()` 设置好的 模块名 实例化对应的类
       * Create a instance of the control.
       **/
      $module = new $className();
      $this->control = $module;
      /* 
       * 使用反射机制获取函数参数的默认值
       * 通过反射获取 函数的参数名称,
       * 通过 `php` 的反射机制 , 获取参数名, 并且初始化好
       *
       * */
      $defaultParams = array();
      $methodReflect = new reflectionMethod($className, $methodName);
      foreach($methodReflect->getParameters() as $param)
      {
          $name = $param->getName();
          $default = '_NOT_SET';
          if(isset($paramDefaultValue[$appName][$className][$methodName][$name]))
          {
              $default = $paramDefaultValue[$appName][$className][$methodName][$name];
          }
          elseif(isset($paramDefaultValue[$className][$methodName][$name]))
          {
              $default = $paramDefaultValue[$className][$methodName][$name];
          }
          elseif($param->isDefaultValueAvailable())
          {
              $default = $param->getDefaultValue();
          }
          $defaultParams[$name] = $default; # 组成一个由 defaultParams[参数名] = "" 构成的字典
      }
      /** 
       * 根据PATH_INFO或者GET方式设置请求的参数。
         * 根据请求方式, 从请求数据包中获取需要的参数信息。
       */
      if($this->config->requestType != 'GET')
      {
          $this->setParamsByPathInfo($defaultParams);
      }
      else
      {
          $this->setParamsByGET($defaultParams);
      }
	
        # 过滤数据
        if($this->config->framework->filterParam == 2)
      {
          $_GET     = validater::filterParam($_GET, 'get');
          $_COOKIE  = validater::filterParam($_COOKIE, 'cookie');
      }
      /* 调用方法,并传入参数 */
      call_user_func_array(array($module, $methodName), $this->params);
      return $module;
  }

该函数的流程为

  • 根据 $app->parseRequest() 设置好的 模块名 实例化对应的类
  • 通过 php 的反射机制 , 获取方法参数名, 并且初始化好
  • 根据请求方式, 从请求包中获取需要的参数信息到 $defaultParams
  • 过滤数据
  • 调用方法,并传入参数
    看一看设置参数的方式

paste image

按照 - 分割 url格式为 

1
module_name-method_name-param1-param2

所以在该程序中 wwwapp 目录是相互对应的。

paste image

当我们请求

1
/dir_name/module_name-method_name-param-...-paramN.html

最后会调用 app 目录下 module_name 中的 control.php

1
module_name->method_name(param1,....,paramN)

比如 

1
/cash/block-printTradeBlock.html

实际就是调用 app 目录下 cash 中的 control.php

1
block->printTradeBlock()

paste image

SQL 注入分析

漏洞出现在 lib/base/dao/dao.class.php

paste image

这里只对 $order 部分进行了校验, 而没有对 limit 后面的部分进行校验。

看到 printTradeBlock

paste image

$this->processParams() 中设置好 $this->params

paste image

可以看到 $this->params 就是 json_decode(base64_decode($_GET['param']))

然后又会调用 

1
orderBy($this->params->orderBy)

所以我们可以控制 limit 后面的部分, SQL注入

这套程序中还会执行 sql 语句,用的是 Pdo用的是 $pdo->query(), 这个函数可以一次执行多条 sql 语句。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
/**
   * 执行SQL语句,返回PDOStatement结果集。
   * Query the sql, return the statement object.
   * 
   * @access public
   * @return object   the PDOStatement object.
   */
  public function query($sql = '')
  {
      /* 如果有错误,返回一个空的PDOStatement对象,确保后续方法能够执行。*/
      /* If any error, return an empty statement object to make sure the remain method to execute. */
      if(!empty(dao::$errors)) return new PDOStatement();   
      if($sql)
      {
          $sql       = trim($sql);
          $sqlMethod = strtolower(substr($sql, 0, strpos($sql, ' ')));
          $this->setMethod($sqlMethod);
          $this->sqlobj = new sql();
          $this->sqlobj->sql = $sql;
      }
      else
      {
          $sql = $this->processSQL(); // 大概就是获取 sql 语句
      }
      $key = md5($sql);
      try
      {
          $method = $this->method;
          $this->reset();
          if($this->slaveDBH and $method == 'select')
          {
              if(isset(dao::$cache[$key])) return dao::$cache[$key];
              $result = $this->slaveDBH->query($sql);
              dao::$cache[$key] = $result;
              return $result;
          }
          else
          {
              if($this->method == 'select')
              {
                  if(isset(dao::$cache[$key])) return dao::$cache[$key];
                  $result = $this->slaveDBH->query($sql);
                  dao::$cache[$key] = $result;
                  return $result;
              }
              return $this->dbh->query($sql);
          }
      }
      catch (PDOException $e) 
      {
          $this->sqlError($e);
      }
  }

这样我们的利用方式就简单了。

  • 闭合 limit 语句,用 ; 连接多条语句
  • 没有回显, 使用 时间盲注

poc

paste image

任意文件下载 && 任意文件删除

由于可以一次执行多条 sql 语句 ,我们实质上已经可以控制数据库了。

app/sys/file/control.php ,有两个函数 deletedownload, 分别用于删除文件和下载文件。

delete 为例
paste image

$this->file->getById($fileID) 时间就是在 表前缀sys_file 中查找对应 id 相对应的 路径。

paste image

利用 sql 注入修改为目标路径(用 ../ 进行目录跳转),然后选择相应 id 即可删除指定文件。下载文件也是类似。

getshell

删除 my.php 后 会要求我们重新安装系统。

在重装系统的最后一步,会直接使用 POST 中的值,来设置 my.php 的内容,同时 , 访问 install.php 时,是不会调用参数过滤的函数的

paste image

所以可以注入 php 代码,getshell

paste image

paste image

本站文章均原创, 转载注明来源
本文链接:http://blog.hac425.top/2018/03/12/ranzhi_oa_6_4_1_sqli_to_getshell.html