freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

免费开源相册Piwigo<= v2.7.1 SQL注入漏洞分析 金币
2014-12-28 11:59:56

前段时间免费开源相册Piwigopwigo出了一个piwigo <= 2.6.0sql注入漏洞。漏洞公布的时候,piwigo已经更新到了2.7.1。但是,这个漏洞公布的时候确实是一个货真价实的0day,影响piwigo全版本。

下面是当时在官方网站测试的记录:

跟piwigo作者沟通了解到他们知道这个漏洞并且认为已经修复了。给他们提供了更多的细节和证明之后,piwigo很快发布了新版本。

漏洞分析

漏洞的分析看起来比较简单,是由于functions_rate.inc.php文件中的rate_picture函数没有对传入的$rate变量进行过滤,直接拼接到SQL中执行:代码如下

为什么这么简单的一个问题,piwigo没有发现,认为这个漏洞已经修复了呢。关键在与rate_picture函数开头其实是有个对$rate变量的过滤的。如下

判断$rate是否是$conf[&#039;rate_items&#039;]的项。而后面这个数组的值是配置文件里写死的。

看起来这句的功能是设置了一个rate变量的白名单。只能是0,1,2,3,4,5其中之一。这样子应该很安全才对。当然事实证明这样子写是不安全的。当$rate = "5'aaaaaaaaaaaaaaaaa "时,in_array($rate, $conf['rate_items']) 这个判断是返回True的。这是php里不同类型变量比较时候的一个特性。关于php比较运算符的特性可以参考这里

简言之:当字符串跟整型变量使用"=="比较的时候,会将字符串转换成整型,再进行比较。

经过测试发现,in_array方法在进行比较时候的逻辑跟"=="是一致。

所以,利用这个特性,相当于完全的bypass in_array的过滤。可以输入任意的数据拼接到SQL语句中,只要以数组中的数字开头就可以了。此外php中的switch也存在类似的特性。

漏洞修复

升级版本即可。官方在新版中,对$rate用正则又判断了一把。限制了只能是数字。话说国内的程序一般就intval一下了。

[作者/xd_xd,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]

本文作者:, 转载请注明来自FreeBuf.COM

# php # 代码审计
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑