<p>整个漏洞详情在书安杂志中进行了详细的说明。</p><p>链接:<a href="https://www.secbook.net" rel="nofollow">https://www.secbook.net</a></p><p></p><p>在_parseObjXml 凼数中$rootTag 就是传入的 xml 中的第一个标签,返里判断是 xjxobj 还是 xjxquery</p><p>当$rootTag 为 xjxquery 时<br></p><p>将传入的参数内容通过 parse_str 处理 parse_str($sQuery, $aArray);</p><p>然后当 get_magic_quotes_gpc() == 1 == on的时候候,将传入的参数值反转义<br></p><pre data-lang="php" class="lang-php">$newArray[$sKey] = stripslashes($sValue);</pre><p>进入postdata函数。</p><pre data-lang="php" class="lang-php">function Postdata($a) { global $db; $chatid = $_SESSION['chatid']; $name = $_SESSION['name']; $a['detail'] = htmlspecialchars($a['detail']); if (!get_magic_quotes_gpc()) { $a['detail'] = addslashes($a['detail']); } $detail = $a['detail'] . ' (' . date('Y-m-d H:i:s', time()) . ')'; $sql = "INSERT INTO `detail` (`chatid`,`detail`,`who_witter`) VALUES('" . $chatid . "','" . $detail . "','2')"; $db->query($sql); $input = "<span class=\"vschat\"><b>" . $name . ":</b> " ....
<p>整个漏洞详情在书安杂志中进行了详细的说明。</p><p>链接:<a href="https://www.secbook.net" rel="nofollow">https://www.secbook.net</a></p><p></p><p>在_parseObjXml 凼数中$rootTag 就是传入的 xml 中的第一个标签,返里判断是 xjxobj 还是 xjxquery</p><p>当$rootTag 为 xjxquery 时<br></p><p>将传入的参数内容通过 parse_str 处理 parse_str($sQuery, $aArray);</p><p>然后当 get_magic_quotes_gpc() == 1 == on的时候候,将传入的参数值反转义<br></p><pre data-lang="php" class="lang-php">$newArray[$sKey] = stripslashes($sValue);</pre><p>进入postdata函数。</p><pre data-lang="php" class="lang-php">function Postdata($a) { global $db; $chatid = $_SESSION['chatid']; $name = $_SESSION['name']; $a['detail'] = htmlspecialchars($a['detail']); if (!get_magic_quotes_gpc()) { $a['detail'] = addslashes($a['detail']); } $detail = $a['detail'] . ' (' . date('Y-m-d H:i:s', time()) . ')'; $sql = "INSERT INTO `detail` (`chatid`,`detail`,`who_witter`) VALUES('" . $chatid . "','" . $detail . "','2')"; $db->query($sql); $input = "<span class=\"vschat\"><b>" . $name . ":</b> " . $detail . "</span><br />\n"; $objResponse = new xajaxResponse('utf-8'); $objResponse->append('ChatHistory', 'innerHTML', $input); return $objResponse; } </pre><p>这里将传入的$a['detail'] 内容进行处理,htmlspecialchars</p><p>然后当 get_magic_quotes_gpc() == off时,在使用 $a['detail'] =addslashes($a['detail']);转义<br></p><p>最后$a['detail'] 进入到 sql 语句中</p><p>整个过程清晰了,下面我们来凾枂一下这里是否存在问题</p><p>通过上面的分析,我们传入的 xml内容被转换为数组,然后将内容通过parse_str凼数处理,</p><p>然后当 get_magic_quotes_gpc() == on 再反转义 stripslashes,最后</p><p>get_magic_quotes_gpc() == off 旪在 addslashes 转义,最后进入 sql 语句<br></p><p><br></p><p>第一,我们将系统 get_magic_quotes_gpc() == on 返样绕过最后一步的 addslashes</p><p>第二,当 get_magic_quotes_gpc() == on 时,会进行一次 stripslashes 反转义<br></p><p>第三,parse_str 凼数在 5.3 乀前会自劢调用 gpc 机制迕行转义,而且还会进行一次urldecode 操作</p><p>第四,我们在传入的内容进入系统时,会自动被 addslashes 转义,而且会被被 urldecode一次<br></p><p>综合上面四个原因:</p><p>我们转入的 参数内容经过两次 urlencode,此时绕过系统癿 addslashes转义,然后被系统</p><p>自动urldecode 一次后,还是 urlencode 编码一次的内容,在进入 parse_str 凼数后,被</p><p>自动urldecode 一次,而且会被调用 gpc 机制转义一次,然后当 get_magic_quotes_gpc()</p><p>== on 时,会进行一次 stripslashes 反转义,此时又发为原始内容,最后进入 sql 语句<br></p><p>整个过程比较复杂为:</p><p>原始数据%2527——系统 urldecode 后%27——parse_str 处理后'——parse_str 处理后\’</p><p>——stripslashes 反转义后'——sql</p><p>重点在于传入的数据需要经两次urlencode才行。</p><p><b>漏洞证明:</b><br></p><p><img data-image-size="954,342" src="https://images.seebug.org/contribute/a66de16a-46f3-4509-9dea-38b85073937c-Clipboard Image.png" alt="Clipboard Image.png"><br></p><p><b>poc证明:</b></p><p>verify<br></p><p><img data-image-size="1020,493" src="https://images.seebug.org/contribute/1a984277-0b1d-43af-aaa3-7f25673f25fa-Clipboard Image.png" alt="Clipboard Image.png"><br></p><p>attack:</p><p><img data-image-size="1020,493" src="https://images.seebug.org/contribute/9a350438-2498-475e-bdd2-eae1b8e5ece3-Clipboard Image.png" alt="Clipboard Image.png"><br></p>
