此次环境搭建 windows+php5.4.6+phpstudy
1.该漏洞在cnvd有记载CVE-2020-21013通过提示/admin/comment.php 进行 SQL 注入去定位漏洞
简单看了下代码没发现sql语句初步判断应该是使用的函数具有sql语句的功能可以发现有一个getComments()函数里面从传入了很多参数一般具有sql注入的地方是一定要有参数这个函数就比较可疑我们就直接追踪函数
通过追踪发现这个函数里确实有sql语句但是我并不知道漏洞参数在哪,简单审计后发现这个文件有很多sql语句和函数而且所传入的参数与comment.php创建的变量这就可以大致判断出这个文件应该就是包含comment.php里的函数的文件,于是我们这边就有一个新思路直接在当前文件中进行模糊查找(update|select|insert|delete|).?where.=通过正则匹配来筛选sql语句通过正则匹配后发现了俩个个可疑的地方
通过图片可以看到这俩个均是拼接sql语句而且没有直接看到对参数的过滤于是我就可以依次排查
首先查找第一个参数commentId 先是通过对getOneComment()函数的追踪来到了comment.php页面这里也证明了我们前面的判断没有问题,然后查找参数最后发现该参数使用了intval()函数过滤
于是我们放弃该参数继续第二个参数的查找 ip参数 依旧同样的方法追踪发现该参数没有进行过滤发现只有一个权限判断这个权限判断不影响我们测试sql注入因为该漏洞是个后台漏洞
于是继续跟踪函数delCommentByIp()看看该函数的处理逻辑
可以看到该函数的作用就是sql查询并将结果提取出来没有看到过滤语句所以能够判断出ip就是sql注入参数点,这边还有一点可以看到这个函数没有返回值所以这个注入应该是一个无回显注入
漏洞地点找到后我们接下来看看漏洞触发点的逻辑
通过上述代码图片可以看到他是有俩个个判断逻辑的
if ($action== 'delbyip')
if (ROLE != ROLE_ADMIN)
第一个判断不用说就是加上相应的参数和值,第二个判断是一个权限认证我们追踪checkToken()函数看一下
(在这里我个人认为他是个后台漏洞也就是说我们要登陆才能利用楼道里理论上来说这个认证对我们复现漏洞来说可有可无但是我在测试的时候确出现了问题;可能是我环境问题)
通过函数追踪发现了有个token认证通过并且在EM_TOKENCOOKIE字段中下面的判断语句我发现了个问题$_REQUEST['token']token通过$_REQUEST函数获取该函数是通过get 或者post请求的参数得到的于是我在这里就明白了之前为什么会出现那样的问题
这边漏洞触发看明白大致就是需要三个参数一个漏洞参数ip 还有一个action== 'delbyip' 和一个token
这个token我们可以登陆网站后抓包在数据包中获取
于是我们就可以进行测试了触发路径/admin/comment.php?action=delbyip&token=a0cacbfb3722143a385e32e67d9deae2&ip=1'得到结果如图,前面说过通过代码可以看出来他是无回显的就要利用sql盲注了,盲注的常用方法1.延迟注入 2.报错注入 3.布尔注入这里可以看到他报错了(他是无回显的他报错了就证明他用了sql的报错函数)于是我们就可以使用报错注入进行尝试
extractvalue(1,concat(0x7e,(select database()),0x7e))--+通过这个来查看数据库执行结果如下
可以看到他返回了数据名emlog,漏洞执行成功
至此这次漏洞复现到此结束