SQL注入漏洞分析

一、背景介紹

hongcms是乙個輕量級的中英文企業**系統，訪問速度極快，使用簡單，程式**簡潔嚴謹，功能強大，完全免費開源，可用於建設各種型別的中英文**，同時它是乙個小型開發框架。

二、漏洞描述

程式在後台進行清空資料庫操作時對傳入的資料庫名過濾不嚴格，可插入和執行惡意sql語句。

三、影響版本

hongcms

四、漏洞細節

首先，我們登入到**後台管理定位到系統—>資料庫維護。

系統預設情況下只允許我們對sessions和vvc資料表進行清空操作，我們隨機選擇乙個，此處我使用vvc表來進行分析，隨後我們點選清空按鈕並結合phpstorm對執行流程進行動態除錯。為了方便大家能清楚地看清執行過程，筆者已經在關鍵的函式位置設定了斷點。

首先程式在app.php第170行使用call_user_func函式對接受的引數進行動態函式**：

跟進operate：

將資料表名稱傳遞給forcestringfrom函式，繼續跟進forcestringfrom：

forcestringfrom通過$_get[$variablename]獲取我們傳遞的tablename引數值並傳遞給了forcestring,跟進forcestring

forcestring判斷invalue是否為字串之後隨即將值傳遞給給escapesql，函式進行安全過濾，繼續跟進。

首先函式判斷了gpc是否開啟，如果開啟則使用stripslashes進行過濾，否則將使用htmlspecialchars並對\0和空格字元進行了替換，隨後判斷mysql_real_escape_string或mysql_escape_string函式是否存在，並呼叫相應的函式進行編碼，否則使用addslashes。隨後程式進入switch語句進行動作匹配，根據不同的action引數值進行相應的操作。

我們定位到emptytable，程式將tablename值傳入了emptytable函式。

跟進emptytable。

在這裡我們看到定義了要執行的sql語句，並將其傳入了exe函式，跟進exe。

exe接收了傳遞的sql語句後隨即進行了執行，並返回執行結果。

最後呼叫printresults將結果列印到後台顯示，我們可以看到在整個執行過程中程式僅僅使用了內建的函式和簡單的替換函式對傳入的引數值進行了安全處理，而這些函式是可以被繞過的。

五、漏洞復現

經過上一節的分析，下面我們就要著手構造我們的sql語句，同樣我們定位到資料表操作的頁面點選要清空的資料表，隨後我們用burp截斷來修改我們的資料表名稱來注入我們構造的sql語句。

此處我們將資料表名稱改為` where vvcid=1 orupdatexml(2,concat(0x7e,(version())),0) or `

同樣我們來跟蹤我們傳入的引數值：

可以看到我們成功的繞過了程式的安全防護並正確的進行了返回，我們繼續往下走看看最終的要執行的sql語句，是否是我們想要的結果。

看到執行的sql語句和我們預想的一樣，我們返回後台頁面看看執行的結果：

可以看到當前使用的資料庫版本已經被查詢了出來。

六、修補措施

系統已停止維護，可以考慮自行安裝waf進行防護。

SQL注入漏洞分析

SQL注入漏洞

SQL注入漏洞

sql注入漏洞

相關推薦