代码审计-任意文件写入RCE+SQL注入挖掘技巧

小七

代码审计-任意文件写入RCE+SQL注入挖掘技巧

前言

最近在代码审计的时候，发现了一个任意文件写入漏洞，利用方式有点意思，不是直接覆盖文件的常规操作，而是通过一些逻辑上的小技巧实现写入。虽然漏洞本身不算复杂，但利用过程还挺好玩的，所以想分享一下我的思路。

另外，还挖到一个SQL注入，不过这个注入点比较普通，就简单提一下，重点是介绍一下代码审计挖掘SQL注入时的辅助工具MySQLMonitor(Mysql监控)。

(1) 任意文件写入

这套源码不是基于ThinkPHP、Laravel编写的。对于这种非主流框架编写的源代码，我一般会先在本地部署好环境之后再开始审计（部署好之后，直接打开BP抓包，照着功能点一顿乱点，观察请求的URL，了解路由规则，方便快速定位控制器以及对应的方法）。

打开编辑器全局搜索upload关键词

上传点A(核心方法):

1. <span style="background-color: silver;">private function saveImage($file, $type)
   
2.     {
   
3.         $tmpName  = $file['tmp_name'];
   
4.         $tmpFile = file_get_contents($tmpName);
   
5. 
   
6.         if($type == FileType::FileDocument) {
   
7.             $name = $file['name'];
   
8.             $ext = array_pop(explode(".", $name));
   
9.             $fileName = $this->ctx->File->saveDocument($tmpFile, $ext);
   
10.         } else{
    
11.             $fileName = $this->ctx->File->saveFile($tmpFile);
    
12.         }
    
13.         return $fileName;
    
14. }</span>

复制代码

1. public function saveFile($content, $dateDir = false)
   
2.     {
   
3.         if (!$dateDir) {
   
4.             $dateDir = date("Ymd");
   
5.         }
   
6. 
   
7.         $fileName = sha1(uniqid());
   
8. 
   
9.         $path = $this->getPath($dateDir, $fileName);
   
10.         file_put_contents($path, $content);
    
11. 
    
12.         $mime = mime_content_type($path);
    
13. 
    
14.         if (!in_array($mime, $this->defaultType)) {
    
15.             thrownewException("file type error");
    
16.         }
    
17. 
    
18.         $ext = isset($this->mimeMapping[$mime]) ? $this->mimeMapping[$mime] : "";
    
19.         if (false == empty($ext)) {
    
20.             $fileName = $fileName . "." . $ext;
    
21.             rename($path, $this->getPath($dateDir, $fileName));
    
22.         }
    
23. 
    
24.         return $dateDir . "-" . $fileName;
    
25. }

复制代码

核心逻辑是通过mime_content_type函数获取上传文件(临时文件)的mime类型，并判断是否存在于defaultType(白名单)数组中，如果不存在则直接抛出异常。

存在则通过文件的mime类型在mimeMapping数组中取出该mime对应的值(对应的文件类型)，并对最终保存的文件名进行拼接。

因为文件后缀名是固定的，所以这个上传点行不通，限制死了。

1. private $defaultType = [
   
2.         "image/jpeg",
   
3.         "image/jpg",
   
4.         "image/png",
   
5.         "image/gif",
   
6.         "audio/mp4",
   
7.         "audio/x-m4a",
   
8.         "video/mp4",
   
9.     ];

复制代码

1. private $mimeMapping = array(
   
2.         "image/jpeg" => "jpeg",
   
3.         "image/jpg" => "jpg",
   
4.         "image/png" => "png",
   
5.         "image/gif" => "gif",
   
6.         'application/zip' => "zip",
   
7.         'application/msword' => "word",
   
8.         'application/xml' => "xml",
   
9.         'application/vnd.ms-powerpoint' => "ppt"
   
10.     );

复制代码

由于通篇只有这一个上传点，所以开始全局搜索危险函数，首先搜索的file_put_contents，文件写入函数。

定位到一个高危的功能点，moveImage方法，因为这个方法在工具类中，所以还需要向上查找调用处(编辑器光标悬停在方法名处，点击右键，Alt+F7可查找方法在项目中的哪里被引用/调用，如果没有输出结果的话还是老方法全局搜索)。

1. public function moveImage($fileId, $newDir)
   
2.     {
   
3. 
   
4.         $fileContent = $this->readFile($fileId);
   
5. 
   
6. 
   
7.         if (!is_dir($newDir)) {
   
8.             mkdir($newDir, 0755, true);
   
9.         }
   
10. 
    
11.         $lastStr = substr($newDir, -1);
    
12.         $path = $newDir . "/" . $fileId;
    
13.         if ($lastStr == "/") {
    
14.             $path = $newDir . $fileId;
    
15.         }
    
16. 
    
17.         file_put_contents($path, $fileContent);
    
18. 
    
19.         return $path;
    
20. }

复制代码

在B控制器中找到一处调用，且$fileId参数可控。

1. $fileId = $_POST["value"]
   
2. $imageDir = LIB_DIR . "../public/web/image/";
   
3. $this->ctx->File_Manager->moveImage($fileId, $imageDir);

复制代码

moveImage的核心逻辑是将$fileId作为文件路径读取文件内容，这里会对字符串(fileId)文件路径处理，按"-"符号将字符串为分割为数组。

1. public function readFile($fileId)
   
2.     {
   
3.         if (strlen($fileId) < 1) {
   
4.             return "";
   
5.         }
   
6. 
   
7.         $fileName = explode("-", $fileId);
   
8.         $dirName = $fileName[0];
   
9.         $fileId = $fileName[1];
   
10. 
    
11.         $path = $this->getPath($dirName, $fileId, false);
    
12.         return file_get_contents($path);
    
13. }

复制代码

例:

123456-1234567.jpg会被分割为

1. $arr = array("123456", "1234567.jpg");

复制代码

如果是123456-1234567.jpg-.php则会被分割为

1. $arr = array("123456", "1234567.jpg","-.php");

复制代码

因为readFile方法直接将切割后数组的第一个值作为目录，第二个值作为文件名，忽略了第三个值，并且直接传入了getPath方法拼接为绝对路径。所以这里可以直接读取到上传点A中上传的正常文件的内容。

1. public function getPath($dateDir, $fileId, $isCreateFolder = true)
   
2.     {
   
3.         $fileId = str_replace("../", "", $fileId);
   
4.         $dateDir = str_replace("../", "", $dateDir);
   
5.         $dirName = WEB_DIR . "/../{$this->imgDir}/$dateDir";
   
6.         if (!is_dir($dirName) && $isCreateFolder) {
   
7.             mkdir($dirName, 0755, true);
   
8.         }
   
9.         return $dirName . "/" . $fileId;
   
10. }

复制代码

回到moveImage方法,判断可控参数的最后一个字符串是否为/符号，这里不是，故跳过。函数最后直接将readFile读取到的合法图片文件的内容写入到了123456-1234567.jpg-.php文件中。

1. if (!is_dir($newDir)) {
   
2.             mkdir($newDir, 0755, true);
   
3.         }
   
4. 
   
5.         $lastStr = substr($newDir, -1);
   
6.         $path = $newDir . "/" . $fileId;
   
7.         if ($lastStr == "/") {
   
8.             $path = $newDir . $fileId;
   
9.         }
   
10. 
    
11.         file_put_contents($path, $fileContent);
    
12. 
    
13.         return $path;

复制代码

利用:

    通过上传点A上传图片，再通过B控制器将上传的合法文件复制到任意后缀的文件中。

(2) SQL注入

注入点:

    $inSql变量可控，直接拼接到SQL语句中进行执行。

使用MySQLMonitor，下断点，再使用Burp发包即可捕获执行的完整SQL语句，便于挖掘SQL注入漏洞时进行调试。