代码审计之绕过后台权限限制，继续sql注入

来源：http://bbs.ichunqiu.com/thread-10102-1-1.html?from=ch

作者：无敌情痴

时间：2016年8月14日 15:59:40

社区：i春秋

前言

为了保证自己不被坏蛋哥干掉，所以写篇文章，上一篇文章的点评中，泉哥对我说授人以鱼不如授人以渔，虽然我也很想做到这样，但是目前的我能力不足，只能分享自己挖掘漏洞的过程，没有能力写出一篇文章来系统的分析如何系统的挖掘一套cms的流程

正文

在审计某套系统的时候，发现了一处注入，但是按照系统的正常逻辑需要有管理员权限才可以，才可以进行注入，于是就想着突破一下权限检测，结果成功了

elseif($act == 'get_jobs')

{

$type=trim($_GET['type']);

$key=trim($_GET['key']);

if (strcasecmp(XXXX_DBCHARSET,"utf8")!=0)

{

$key=iconv("utf-8",XXXX_DBCHARSET,$key);

}

if ($type=="get_id")

{

$id=intval($key);

$sql = "select * from ".table('jobs')." where id='{$id}'  LIMIT 1";

}

elseif ($type=="get_jobname")

{

$sql = "select * from ".table('jobs')." where jobs_name like '%{$key}%'  LIMIT 30";

}

elseif ($type=="get_comname")

{

$sql = "select * from ".table('jobs')." where companyname like '%{$key}%'  LIMIT 30";

}

elseif ($type=="get_uid")

{

$uid=intval($key);

$sql = "select * from ".table('jobs')." where uid='{$uid}'  LIMIT 30";

}

else

{

exit();

}

[/b][/color][/size]

[size=2][color=#000000][b]

复制代码

$sql = "select * from ".table('jobs')." where jobs_name like '%{$key}%'  LIMIT 30";

系统对get,post,cookie都做了addslashes，上面这行代码有引号保护正常来说不能注入，但是

if (strcasecmp(XXXX_DBCHARSET,"utf8")!=0)

{

$key=iconv("utf-8",XXXX_DBCHARSET,$key);

}

这个常量XXXX_DBCHARSET被定义为GBK，所以

$key=iconv("utf-8",XXXX_DBCHARSET,$key);

会把utf-8转换为gbk，编码转换，造成的宽字节注入

不过开头的地方include了一个权限检查文件，也就是说要注入，必须先绕过里面的权限检查代码

if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')

复制代码

if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')

开头有这么一句代码，也就是说要执行下面这段权限检查代码，必须先满足这个条件，但是这里

$_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout'

$_REQUEST这个数组的数据来自$_POST,$_GET,$_COOKIE这些地方，是可控的，所以只要让值登录这三个的任意一个就可以绕过权限检查代码

但是系统是根据$act这个值来判断执行那段代码的

elseif($act == 'get_jobs')

如果不等于get_jobs，不就不会执行这段代码了，然后又仔细看了一下代码，发现了突破口

检查权限的文件接收$act用的是$_REQUEST

而这个存在注入的文件接收注入用的是$_GET

而测试的时候发现，$_REQUEST接收一个变量的时候会先查找POST数组里面的

下面是一段验证代码

echo $_REQUEST['act'];

?>

复制代码

看下面的三张截图，先在GET参数中输入act，发现REQUEST，接收了GET的act，然后再在POST参数输入act,发现REQUEST,接收了POST参数输入的act，最后一张图是重点，如果同时在GET和POST参数中输入act这个变量，REQUEST会优先接收POST的

所以可以利用这一点来突破权限检测

if(empty($_SESSION['admin_id']) && $_REQUEST['act'] != 'login' && $_REQUEST['act'] != 'do_login' && $_REQUEST['act'] != 'logout')

在POST中输入act为login，这样这个条件就不成立，然后再在GET中输入act为get_jobs

elseif($act == 'get_jobs')

这样就会执行这个分支了

然后就注入成功了

结尾

由于本人是个菜鸟，文章的内容难免会出现差错，希望大家多多指正，也谢谢泉哥对我们文章的点评