黑帽SEO
免费发布泛目录 蜘蛛池 黑帽SEO工具

Metinfo 5.3.17 前台SQL注入漏洞

  Metinfo 8月1日升级了版本,修复了一个影响小于等于5.3.17版本(几乎可以追溯到所有5.x版本)的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响,可以直接获取数据,影响较广。

  漏洞出现在 /include/global.func.php 文件的 jump_pseudo 函数:

  Metinfo 5.3.17 前台SQL注入漏洞get_one($query); $psid=($jump[‘filename’]<>“” and $metadmin[‘pagename’])?$jump[‘filename’]:$jump[‘id’]; if($jump[module]==1){ $jump[‘url’]=’http://www.xisewbms.cn/’.$psid.’-‘.$lang.’.html’; }else if($jump[module]==8){ $jump[‘url’]=’http://www.xisewbms.cn/’.’index-‘.$lang.’.html’; } else{ if($page&&$page!=1)$psid.=’-‘.$page; $jump[‘url’]=’http://www.xisewbms.cn/’.’list-‘.$psid.’-‘.$lang.’.html’; } } } … }

  代码截的不全,只关注一下这几个操作:

  $pseudo_url=$_SERVER[HTTP_X_REWRITE_URL]?$_SERVER[HTTP_X_REWRITE_URL]:$_SERVER[REQUEST_URI];

  : 从

  $_SERVER[HTTP_X_REWRITE_URL]

  中获取$pseudo_url变量

  $dirs=explode(‘/’,$pseudo_url);

  :将$pseudo_url变量用斜线分割成$dirs数组

  $dir_dirname=$dirs[count($dirs)-2];

  :获取$dirs的倒数第二个元素作为$dir_dirname变量

  $query=”select * from $met_column where foldername=’$dir_dirname’ and lang=’$lang’ and (classtype=’1′ or releclass!=’0′) order by id asc”;:$dir_dirname

  变量被拼接进SQL语句

  所以,通过分析可知,$_SERVER[HTTP_X_REWRITE_URL]的一部分,最终被拼接进SQL语句。那么,如果Metinfo没有对HTTP头进行验证的情况下,将导致一个SQL注入漏洞。

  看一下Metinfo对于变量的获取方式:

   $_value) { $_key{0} !=’_’ && $$_key=daddslashes($_value,0,0,1); $_M[‘form’][$_key]=daddslashes($_value,0,0,1); } }

  使用daddslashes函数过滤GPC变量,daddslashes这个函数确实很讨厌,不光有转义,而且有很不友好的软WAF。但我们这里这个注入点是来自于SERVER变量,所以是不受软WAF影响的。

  那么,我们看看如何才能进入这个注入的位置。

  jump_pseudo函数前面有一些条件语句,归纳一下主要有下面几个:

  需要满足if($met_pseudo)…

  需要满足if($pseudo_jump!=1)…

  需要满足switch($dir_filenames[0]){ case ‘index.php’:…

  需要满足if(!$class1&&!$class2&&!$class3)…

  不能满足if($index==’index’)…

  不能满足if($lang==$met_index_type)…

  翻译成汉字,大意就是:

  $met_pseudo必须为真。$met_pseudo这个变量是指系统是否开启了伪静态,也就说这个漏洞需要开启伪静态才能够利用。

  $pseudo_jump不等于1。这个条件,只要$_SERVER[HTTP_X_REWRITE_URL]有值即可满足。

  $dir_filenames[0]必须等于’index.php’,这个变量是可控的。

  class1、class2、class3不能有值。这个条件,只要我访问的是index.php,并且不主动传入这三个参数,即可满足。

  $index不能等于’index’,这个变量也是可控的,传入参数index=xxxx即可

  $lang不能等于$met_index_type

  这6个条件语句中,2~5中的变量都可控,1中的变量只要开启伪静态即可满足,唯独6需要单独分析一下。

  $lang是我们传入的参数,代表给访客显示的语言是什么。Metinfo默认安装时,将存在3种语言:简体中文(cn)、英文(en)、繁体中文(tc),而$met_index_type表示默认语言类型,默认是中文,也就是cn。

  而Metinfo的配置(包括伪静态相关的配置),是和语言有关系的,不同语言的配置不相同。默认情况下,如果管理员在后台开启伪静态,将只会修改lang=cn时的配置。

  那么,正常情况下,我们传入index.php?lang=cn,将会导致if($lang==$met_index_type)…这个条件成立,也就没法进入SQL注入的语句中;如果我们传入index.php?lang=en,又导致伪静态配置恢复默认,也就是$met_pseudo=0,导致进不去步骤1的if语句;如果我们传入一个不存在的lang,比如index.php?lang=xxx,将会导致报错:No data

  in the database,please reinstall.

  这就比较蛋疼。此时,就需要利用到Mysql的一个特性。

  0x03. Mysql 大小写特性回顾

  Mysql对于内容的存储方式,有如下两个概念:字符集(character set)和collation(比对方法)。

  二者组合成Mysql的字符格式,一般来说分为这两类:

  __

  _bin

  比如,最常用的utf8_general_ci,就是第一种格式。

  我们这里需要关注的就是最后一串:ci、cs、bin,这三个究竟是什么?

  ci 其实就是 case insensitive (大小写不敏感)的缩写, cs 是 case sensitive (大小写敏感)的缩写。也就是说,当我们用的字符格式是utf8_general_ci时,Mysql中比对字符串的时候是大小写不敏感的。

  bin指的是比较的时候,按照二进制的方式比较,这种情况下就不存在大小写的问题了。bin方式还可以解决有些小语种上的特性,这个就不展开说了。

  我们随便找了个数据表,做个小实验:

  Metinfo 5.3.17 前台SQL注入漏洞分析

  可见上图,虽然我查询的SQL语句是SELECT * FROM `wp_users` WHERE `user_login`=’AdmIN’,但实际上查询出来了用户名是admin的用户账户。

  回到Metinfo,我们可以利用0x03中说到的Mysql特点,来绕过if($lang==$met_index_type)…的判断。

  我们来看看Metinfo是如何获取系统配置的:

  get_one(“SELECT * FROM $met_config WHERE name=’met_index_type’ and lang=’metinfo'”); $met_index_type=$met_index_type[‘value’]; $lang=($lang==””)?$met_index_type:$lang; $langoks=$db->get_one(“SELECT * FROM $met_lang WHERE lang=’$lang'”); if(!$langoks)die(‘No data in the database,please reinstall.’); if(!$langoks[useok]&&!$metinfoadminok)okinfo(‘/404.html’); if(count($met_langok)==1)$lang=$met_index_type; $_M[config][tablepre]=$tablepre; $query=”SELECT * FROM $met_config WHERE lang=’$lang’ or lang=’metinfo'”; $result=$db->query($query); while($list_config=$db->fetch_array($result)){ $_M[config][$list_config[‘name’]]=$list_config[‘value’]; if($metinfoadminok)$list_config[‘value’]=str_replace(‘”‘, ‘”‘, str_replace(“‘”, ”’,$list_config[‘value’])); $settings_arr[]=$list_config; if($list_config[‘columnid’]){ $settings[$list_config[‘name’].’_’.$list_config[‘columnid’]]=$list_config[‘value’]; }else{ $settings[$list_config[‘name’]]=$list_config[‘value’]; } if($list_config[‘flashid’]){ $list_config[‘value’]=explode(‘|’,$list_config[‘value’]); $falshval[‘type’]=$list_config[‘value’][0]; $falshval[‘x’]=$list_config[‘value’][1]; $falshval[‘y’]=$list_config[‘value’][2]; $falshval[‘imgtype’]=$list_config[‘value’][3]; $list_config[‘mobile_value’]=explode(‘|’,$list_config[‘mobile_value’]); $falshval[‘wap_type’]=$list_config[‘mobile_value’][0]; $falshval[‘wap_y’]=$list_config[‘mobile_value’][1]; $met_flasharray[$list_config[‘flashid’]]=$falshval; } } $_M[lang]=$lang; @extract($settings);

  可见,这里执行了这条SQL语句SELECT * FROM $met_config WHERE lang=’$lang’ or lang=’metinfo’,然后将结果extract到上下文中。

  而$met_config这个表,格式就是utf8_general_ci,大小写不敏感。

  所以,我只需要传入index.php?lang=Cn,在执行上述SQL语句的时候,不影响SQL语句的执行结果;而在进行if($lang==$met_index_type)…比较的时候,Cn !=cn,成功进入else语句。

  最后,构造下面数据包,注入获取结果:

  Metinfo 5.3.17 前台SQL注入漏洞分析

  主要条件就是,需要管理员开启伪静态:

  Metinfo 5.3.17 前台SQL注入漏洞分析

  没有什么其他条件了,无需登录即可触发。

未经允许不得转载:黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程 » Metinfo 5.3.17 前台SQL注入漏洞
分享到: 更多 (0)

黑帽SEO-实战SEO技术培训、泛目录站群、蜘蛛池、流量技术教程

不做韭菜坚决不做韭菜