原标题：代码审计Day13 - 特定场合下addslashes函数的绕过

前言

大家好，我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目，供大家学习交流，我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章，属于项目第一阶段的内容，本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目，我们均给出对应的分析，并结合实际CMS进行解说。在文章的最后，我们还会留一道CTF题目，供大家练习，希望大家喜欢。下面是第13篇代码审计文章：

Day 13 - Turkey Baster

代码如下：

这是一道典型的用户登录程序，从代码来看，考察的应该是通过SQL注入绕过登陆验证。代码第33行，通过POST方式传入user和passwd两个参数，通过isValid()来判断登陆是否合法。我们跟进一下isValid()这个函数，该函数主要功能代码在第12行-第22行，我们看到13行和14行调用sanitizeInput()针对user和password进行相关处理。

跟进一下sanitizeInput()，主要功能代码在第24行-第29行，这里针对输入的数据调用addslashes函数进行处理，然后再针对处理后的内容进行长度的判断，如果长度大于20，就只截取前20个字符。addslashes函数定义如下：

addslashes— 使用反斜线引用字符串

stringaddslashes( string$str)

作用：在单引号(')、双引号(")、反斜线()与 NUL(NULL字符)字符之前加上反斜线。

我们来看个例子：

那这题已经过滤了单引号，正常情况下是没有注入了，那为什么还能导致注入了，原因实际上出在了substr函数，我们先看这个函数的定义：

substr— 返回字符串的子串

stringsubstr( string$string, int$start[, int$length] )

作用：返回字符串string由start和length参数指定的子字符串。

我们来看个例子：

那么再回到这里，我们知道反斜杠可以取消特殊字符的用法，而注入想要通过单引号闭合，在这道题里势必会引入反斜杠。所以我们能否在反斜杠与单引号之间截断掉，只留一个反斜杠呢？答案是可以，我们看个以下这个例子。

在这个例子中，我们直接使用题目代码中的过滤代码，并且成功在反斜杠和单引号之间截断了，那我们把这个payload带入到题目代码中，拼接一下第17行-第19行代码中的sql语句。

selectcount(p) fromuseruwhereuser='1234567890123456789' AND password = '$pass'

这里的sql语句由于反斜杠的原因，user = '1234567890123456789'最后这个单引号便失去了它的作用。这里我们让pass=or 1=1#，那么最后的sql语句如下：

selectcount(p) fromuserwhereuser='1234567890123456789' AND password = 'or1=1#'

这时候在此SQL语句中，user值为1234567890123456789' AND password =，因此我们可以保证带入数据库执行的结果为True，然后就能够顺利地通过验证。

所以这题最后的payload如下所示：

user=1234567890123456789'&passwd=or 1=1#

这里的实例分析，我们选择苹果CMS视频分享程序 8.0进行相关漏洞分析。漏洞的位置是在inccommontemplate.php，我们先看看相关代码：

这里代码的第三行-第四行位置，$lp['wd']变量位置存在字符串拼接，很明显存在sql注入，但是这个cms具有一些通用的注入防护，所以我们从头开始一步步的看。

首先在incmodulevod.php文件中的，我们看到第一行代码当$method=search成立的时候，进入了第3行中的be("all", "wd")获取请求中wd参数的值，并且使用chkSql()函数针对wd参数的值进行处理。部分关键代码如下所示：

跟进一下be()函数，其位置在inccommonfunction.php文件中，关键代码如下：

这部分代码的作用就是对GET，POST，REQUEST接收到的参数进行addslashes的转义处理。根据前面针对be("all", "wd")的分析，我们知道wd参数的值是通过REQUEST方式接收，并使用addslashes函数进行转义处理。再回到incmodulevod.php文件中的，我们跟进一下chkSql()函数，该函数位置在inccommon360_safe3.php文件中，具体代码如下：

分析一下这部分代码的作用，其实就是在第8行-第12行针对接收到的的变量进行循环的urldecode(也就是url解码)动作，然后在第15行，使用StopAttack函数解码后的数据进行处理，最后将处理后的数据通过htmlEncode方法进行最后的处理，然后返回处理之后的值。

我们先跟进一下StopAttack函数，该函数位置在inccommon360_safe3.php文件中，我们截取部分相关代码如下：

我们看到代码的第13行-第19行调用正则进行处理，而相关的正则表达式是$ArrFiltReq变量。这里第13行的$ArrFiltReq变量就是前面传入的$getfilter，即语句变成：

preg_match("/".$getfilter."/is",1)

我们跟进一下$getfilter变量。该变量在inccommon360_safe3.php文件中，我们截取部分相关代码如下：

这串代码的功能显而易见，就是检测GET，POST，COOKIE中的恶意数据。刚刚在chkSql()函数最后有串代码是：return htmlEncode($s);，我们跟进一下htmlEncode函数。该函数位置在inccommonfunction.php文件中，相关代码如下：

这段代码的功能是针对&、'、空格、"、TAB、回车、换行、大于小于号等符号进行实体编码转换。但是这里百密一疏，没有针对其他的空白字符和反斜杠进行处理。这里先埋下一个伏笔，我们继续往下看。

首先注入点是在inccommontemplate.php，相关代码如下：

我们继续看看这个$lp['wd']的值是怎么获取的，在inccommontemplate.php文件中找到其相关代码：

上图第13行，当P['wd']不为空的时候，$lp['wd']是从P["wd"]中获取到数据的。根据前面我们的分析，在incmodulevod.php文件中的存在这样一行代码：$tpl->P["wd"] =$wd;

而wd是可以从REQUEST中获取到，所以这里的wd实际上是可控的。

漏洞验证

现在我们需要针对漏洞进行验证工作，这就涉及到POC的构造。在前面分析中，我们知道htmlEncode针对&、'、空格、"、TAB、回车、换行、大于小于号进行实体编码转换。但是这里的注入类型是字符型注入，需要引入单引号来进行闭合，但是htmlEncode函数又对单引号进行了处理。因此我们可以换个思路。

我们看到注入攻击的时候，我们的$lp['wd']参数可以控制SQL语句中的两个位置，因此这里我们可以通过引入反斜杠进行单引号的闭合，但是针对前面的分析我们知道其调用了addslashes函数进行转义处理，而addslashes会对反斜杠进行处理，但是这里对用户请求的参数又会先进行url解码的操作，因此这里可以使用双url编码绕过addslashes函数。

POST/maccms8/index.php?m=vod-searchHTTP/1.1

Host:127.0.0.1

User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language:zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding:gzip, deflate

Content-Type:application/x-www-form-urlencoded

Content-Length:98

Connection:keep-alive

Upgrade-Insecure-Requests:1

wd=))||if((select%0b(select(m_name)``from(mac_manager))regexp(0x5e61)),(`sleep`(3)),0)#%25%35%63

payload传到程序里，经过拼接后的数据库语句如下所示：

漏洞修复

这里的防御手段其实已经很多了，但就是因为这么多防御手段结合在一起出现了有趣的绕过方式。

functionhtmlEncode($str)

{

if(!isN($str)){

$str=str_replace(chr(38), "&",$str);

$str=str_replace(">", ">",$str);

$str=str_replace("

$str=str_replace(chr(39), "'",$str);

$str=str_replace(chr(32), " ",$str);

$str=str_replace(chr(34), """,$str);

$str=str_replace(chr(9), " ",$str);

$str=str_replace(chr(13), "
",$str);

$str=str_replace(chr(10), "
",$str);

$str=str_replace(chr(92), "
",$str); //新增修复代码

}

return$str;

}

反斜杠的ascii码是92，这里新增一行代码处理反斜杠。

结语

看完了上述分析，不知道大家是否对htmlentities函数在使用过程中可能产生的问题，有了更加深入的理解，文中用到的代码可以从这里下载，当然文中若有不当之处，还望各位斧正。如果你对我们的项目感兴趣，欢迎发送邮件到hongrisec@gmail.com联系我们。Day13的分析文章就到这里，我们最后留了一道CTF题目给大家练手，题目如下：

//index.php

require'db.inc.php';

functiondhtmlspecialchars($string) {

if(is_array($string)) {

foreach($stringas$key=>$val) {

$string[$key] =dhtmlspecialchars($val);

}

}

else{

$string=str_replace(array('&', '"', '', '(', ')'), array('&', '"', '', '(', ')'), $string);

if(strpos($string, '') !==false) {

$string=preg_replace('/&((#(d{3,5}|x[a-fA-F0-9]{4}));)/', '&1', $string);

}

}

return$string;

}

functiondowith_sql($str) {

$check=preg_match('/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile/is', $str);

if($check) {

echo"非法字符!";

exit();

}

return$str;

}

// 经过第一个waf处理

foreach($_REQUESTas$key=>$value) {

$_REQUEST[$key] =dowith_sql($value);

}

// 经过第二个WAF处理

$request_uri=explode("?", $_SERVER['REQUEST_URI']);

if(isset($request_uri[1])) {

$rewrite_url=explode("&", $request_uri[1]);

foreach($rewrite_urlas$key=>$value) {

$_value=explode("=", $value);

if(isset($_value[1])) {

$_REQUEST[$_value[0]] =dhtmlspecialchars(addslashes($_value[1]));

}

}

}

// 业务处理

if(isset($_REQUEST['submit'])) {

$user_id=$_REQUEST['i_d'];

$sql="select * from ctf.users where id=$user_id";

$result=mysql_query($sql);

while($row=mysql_fetch_array($result))

{

echo"

";

echo"

". $row['name'] . "";

echo"

";

}

}

?>//db.inc.php

$mysql_server_name="localhost";

$mysql_database="ctf"; /** 数据库的名称 */

$mysql_username="root"; /** MySQL数据库用户名 */

$mysql_password="root"; /** MySQL数据库密码 */

$conn=mysql_connect($mysql_server_name, $mysql_username,$mysql_password,'utf-8');

?>//ctf.sql

# Host: localhost (Version: 5.5.53)

# Date: 2018-08-1821:42:20

# Generator: MySQL-Front 5.3(Build 4.234)

/*!40101 SET NAMES utf8 */;

#

# Structure for table"users"

#

DROPTABLEIF EXISTS `users`;

CREATETABLE`users` (

`Id` int(11) NOTNULLAUTO_INCREMENT,

`name` varchar(255) DEFAULT NULL,

`pass` varchar(255) DEFAULT NULL,

`flag` varchar(255) DEFAULT NULL,

PRIMARY KEY (`Id`)

) ENGINE=MyISAM AUTO_INCREMENT=2DEFAULT CHARSET=utf8;

#

# Data for table"users"

#

/*!40000 ALTER TABLE `users` DISABLE KEYS */;

INSERTINTO`users` VALUES(1,'admin','qwer!@#zxca','hrctf{R3qu3st_Is_1nterEst1ng}');

/*!40000 ALTER TABLE `users` ENABLE KEYS */;参考文章

PHP的两个特性导致waf绕过注入

request导致的安全性问题分析返回搜狐，查看更多

责任编辑：