首先这个cms是tp框架开发的,版本是3.2.3
直接看漏洞点函数
如图,经过 checkPost 检查后,就直接将源 $_GET[ 'id' ] 的参数值赋给了 $orderId 带入了 orderNotice 函数中
检查参数函数 checkPost
/**
* 检查参数列表
* @param array &$post 待检查参数列表
* @param array $notCheck 设置数字检测列表,和忽略字段 例子:必须 ['is_numeric'=>['age','mobile'], 'nickname']
* @param boolean $isCheckNumber 是否检查数字
* @param array|null $validate 需要检测的参数
* @return boolean
*/
public static function checkPost(
array &$post,
array $notCheck = array('is_numeric' => array()),
$isCheckNumber = false,
array $validate = null)
{
if (empty($post) || !is_array($post)) return false;
static $flag = 0;
//必须存在的键适用于一维数组
if (!empty($validate))
{
foreach ($validate as $key => $value)
{ //检验建名是否是$post中的建名
if (!array_key_exists($value, $post)) {
return false;
}
}
}
foreach ($post as $key => &$value)
{
if (in_array($key, $notCheck)){//屏蔽不检测的键
$flag++;
continue;
}
if (is_array($value))
{
return self::checkPost($value, $notCheck, $isCheckNumber);
}
else
{
if ($isCheckNumber === true
&& !is_numeric($value)
&& isset($notCheck['is_numeric'])
&& in_array($key, $notCheck['is_numeric'], true)) {
return false;
}
if (in_array($key, $notCheck)){//屏蔽不检测的键
$flag++;
continue;
}
if ((!in_array($key, $notCheck) && empty($value))) {
if ($value == 0 ) {
$flag++;
} else {
return false;
}
} else {
$value = addslashes(strip_tags($value));
$flag++;
}
}
}
return $flag === 0 ? false : true;
}
就像函数说明一样,正常情况下,在 is_numeric 键下的字段,都会使用 is_numeric 函数来检查其值,如果不符合条件,那么返回 false ,自然就无法进行下一步操作
一眼看去感觉这函数考虑的很周全,数组也考虑进去了,那么我们知道 tp 的注入大多数情况下是依赖数组形式的payload才行(除非直接字符串拼接,那就不用提了),那么就仔细分析下在传入的字段是数组的情况下,它处理是否正确
现在假设我们需要传入的字段,受其检测限制
这里就注意到了,检查的判断点在于 $key ,进行对数组的递归检查的时候,只是传入了 $key 对应的 $value 和 检测规则,原始的 $key 值已经丢失,这怎么可能在检测数组元素的时候还能保持原意呢,规则照样不变,但是注意上图中的小红框部分,其 $key 是我们可以任意构造的了,已经无法检测
例如,传入 test[1]=have_test
原意本是只要在检测规则中,这个 test 的所有值都必须是数字形式的,但是在递归的过程中 $key 已经变成了 1 ,而不是 test,所以无法检测
产生注入的 orderNotice 函数
在刚才的分析中,checkPost 函数实际上对数组在一定程度下是无效的,那么继续向下看,跟进 orderNotice 函数中
$orderId 就是 $_GET['id'],发现 $orderId 带入了很多地方,在进入 where 字句前,最值得我们注意的就是 paySuccessEditStatus 函数,因为如果其返回值如果为空的话,将提前结束函数流程,进而导致注入失败,我们跟进 paySuccessEditStatus 去看看
绕过一些限制
paySuccessEditStatus 函数如下:
这里是简简单单的将 $orderId 作为订单状态判断标准进行修改数据库,其实这个过程不用管的,因为我们知道修改数据库操作,那怕是 $orderId 出错也会有正常状态返回,因为关联参数不可能只有它一个。只需注意上图中红框部分,判断 int 强制转换后,是否为 0,通过前面我们知道,首先要绕过检查必须用数组,然后where 字句中造成注入,也必须要用数组,所以这里转换的也是数组,那么只要数组不为空,这个强制转换的结果是 1
想要造成注入,那么数组就必不可能为空,到这里,就全部绕过了
但是呢,为了确保注入成功,我们就继续跟入 saveStatus 查看一下
先是经过强制转换,这里和前面 (int) 形式的结果一样,只要不为空就返回 1,那么 $param 里的所有 key 和 value 都是OK的,没毛病了,这肯定可以 update 成功的
也就是说 paySuccessEditStatus 函数返回的 $status 应该不是 false 了,那么回到 orderNotice 函数中,在后续的流程中不需要绕过啥了,直接进入到了 where 字句中,就造成了 sql 注入
最后的构造反而最简单....
id[0]=exp&id[1]=%3d1=1 or 1%23orich1 test
数据库记录如下: