Metinfo 5.3.17 前台SQL注入漏洞分析

腹黑 WEB安全, 代码审计 2017-08-08

4195 0 0

Metinfo 8月1日升级了版本，修复了一个影响小于等于5.3.17版本（几乎可以追溯到所有5.x版本）的SQL注入漏洞。这个SQL注入漏洞不受软WAF影响，可以直接获取数据，影响较广。

0x01. 漏洞原理分析

漏洞出现在 /include/global.func.php 文件的 jump_pseudo 函数：

代码截的不全，只关注一下这几个操作：

：从中获取$pseudo_url变量
$dirs=explode('/',$pseudo_url);：将$pseudo_url变量用斜线分割成$dirs数组
$dir_dirname=$dirs[count($dirs)-2];：获取$dirs的倒数第二个元素作为$dir_dirname变量
：$dir_dirname变量被拼接进SQL语句

所以，通过分析可知，$_SERVER[HTTP_X_REWRITE_URL]的一部分，最终被拼接进SQL语句。那么，如果Metinfo没有对HTTP头进行验证的情况下，将导致一个SQL注入漏洞。

看一下Metinfo对于变量的获取方式：

使用daddslashes函数过滤GPC变量，daddslashes这个函数确实很讨厌，不光有转义，而且有很不友好的软WAF。但我们这里这个注入点是来自于SERVER变量，所以是不受软WAF影响的。

0x02. 漏洞利用缺陷

那么，我们看看如何才能进入这个注入的位置。

jump_pseudo函数前面有一些条件语句，归纳一下主要有下面几个：

需要满足if($met_pseudo)...
需要满足if($pseudo_jump!=1)...
需要满足switch($dir_filenames[0]){ case 'index.php':...
需要满足if(!$class1&&!$class2&&!$class3)...
不能满足if($index=='index')...
不能满足if($lang==$met_index_type)...

翻译成汉字，大意就是：

$met_pseudo必须为真。$met_pseudo这个变量是指系统是否开启了伪静态，也就说这个漏洞需要开启伪静态才能够利用。
$pseudo_jump不等于1。这个条件，只要$_SERVER[HTTP_X_REWRITE_URL]有值即可满足。
$dir_filenames[0]必须等于'index.php'，这个变量是可控的。
class1、class2、class3不能有值。这个条件，只要我访问的是index.php，并且不主动传入这三个参数，即可满足。
$index不能等于'index'，这个变量也是可控的，传入参数index=xxxx即可
$lang不能等于$met_index_type

这6个条件语句中，2~5中的变量都可控，1中的变量只要开启伪静态即可满足，唯独6需要单独分析一下。

$lang是我们传入的参数，代表给访客显示的语言是什么。Metinfo默认安装时，将存在3种语言：简体中文（cn）、英文（en）、繁体中文（tc），而$met_index_type表示默认语言类型，默认是中文，也就是cn。

而Metinfo的配置（包括伪静态相关的配置），是和语言有关系的，不同语言的配置不相同。默认情况下，如果管理员在后台开启伪静态，将只会修改lang=cn时的配置。

那么，正常情况下，我们传入index.php?lang=cn，将会导致if($lang==$met_index_type)...这个条件成立，也就没法进入SQL注入的语句中；如果我们传入index.php?lang=en，又导致伪静态配置恢复默认，也就是$met_pseudo = 0，导致进不去步骤1的if语句；如果我们传入一个不存在的lang，比如index.php?lang=xxx，将会导致报错：No data in the database,please reinstall.

这就比较蛋疼。此时，就需要利用到Mysql的一个特性。

0x03. Mysql 大小写特性回顾

Mysql对于内容的存储方式，有如下两个概念：字符集（character set）和collation（比对方法）。

二者组合成Mysql的字符格式，一般来说分为这两类：

<character set>_<language/other>_<ci/cs>
<character set>_bin

比如，最常用的utf8_general_ci，就是第一种格式。

我们这里需要关注的就是最后一串：ci、cs、bin，这三个究竟是什么？

ci 其实就是 case insensitive （大小写不敏感）的缩写， cs 是 case sensitive （大小写敏感）的缩写。也就是说，当我们用的字符格式是utf8_general_ci时，Mysql中比对字符串的时候是大小写不敏感的。

bin指的是比较的时候，按照二进制的方式比较，这种情况下就不存在大小写的问题了。bin方式还可以解决有些小语种上的特性，这个就不展开说了。

我们随便找了个数据表，做个小实验：

可见上图，虽然我查询的SQL语句是SELECT * FROM wp_users WHERE user_login='AdmIN'，但实际上查询出来了用户名是admin的用户账户。

0x04. 完成漏洞利用

回到Metinfo，我们可以利用0x03中说到的Mysql特点，来绕过if($lang==$met_index_type)...的判断。

我们来看看Metinfo是如何获取系统配置的：

<?php
/*默认语言*/
$met_index_type = $db->get_one("SELECT * FROM $met_config WHERE name='met_index_type' and lang='metinfo'");
$met_index_type = $met_index_type['value'];
$lang=($lang=="")?$met_index_type:$lang;
$langoks = $db->get_one("SELECT * FROM $met_lang WHERE lang='$lang'");
if(!$langoks)die('No data in the database,please reinstall.');
if(!$langoks[useok]&&!$metinfoadminok)okinfo('../404.html');
if(count($met_langok)==1)$lang=$met_index_type;
/*读配置数据*/
$_M[config][tablepre]=$tablepre;
$query = "SELECT * FROM $met_config WHERE lang='$lang' or lang='metinfo'";
$result = $db->query($query);
while($list_config= $db->fetch_array($result)){
    $_M[config][$list_config['name']]=$list_config['value'];
    if($metinfoadminok)$list_config['value']=str_replace('"', '&#34;', str_replace("'", '&#39;',$list_config['value']));
    $settings_arr[]=$list_config;
    if($list_config['columnid']){
        $settings[$list_config['name'].'_'.$list_config['columnid']]=$list_config['value'];
    }else{
        $settings[$list_config['name']]=$list_config['value'];
    }
    if($list_config['flashid']){
        $list_config['value']=explode('|',$list_config['value']);
        $falshval['type']=$list_config['value'][0];
        $falshval['x']=$list_config['value'][1];
        $falshval['y']=$list_config['value'][2];
        $falshval['imgtype']=$list_config['value'][3];
        $list_config['mobile_value']=explode('|',$list_config['mobile_value']);
        $falshval['wap_type']=$list_config['mobile_value'][0];
        $falshval['wap_y']=$list_config['mobile_value'][1];
        $met_flasharray[$list_config['flashid']]=$falshval;
    }
}
$_M[lang]=$lang;
@extract($settings);

<?php

/*默认语言*/

$met_index_type = $db->get_one("SELECT * FROM $met_config WHERE name='met_index_type' and lang='metinfo'");

$met_index_type = $met_index_type['value'];

$lang=($lang=="")?$met_index_type:$lang;

$langoks = $db->get_one("SELECT * FROM $met_lang WHERE lang='$lang'");

if(!$langoks)die('No data in the database,please reinstall.');

if(!$langoks[useok]&&!$metinfoadminok)okinfo('../404.html');

if(count($met_langok)==1)$lang=$met_index_type;

/*读配置数据*/

$_M[config][tablepre]=$tablepre;

$query = "SELECT * FROM $met_config WHERE lang='$lang' or lang='metinfo'";

$result = $db->query($query);

while($list_config= $db->fetch_array($result)){

$_M[config][$list_config['name']]=$list_config['value'];

if($metinfoadminok)$list_config['value']=str_replace('"', '"', str_replace("'", ''',$list_config['value']));

$settings_arr[]=$list_config;

if($list_config['columnid']){

$settings[$list_config['name'].'_'.$list_config['columnid']]=$list_config['value'];

}else{

$settings[$list_config['name']]=$list_config['value'];

}

if($list_config['flashid']){

$list_config['value']=explode('|',$list_config['value']);

$falshval['type']=$list_config['value'][0];

$falshval['x']=$list_config['value'][1];

$falshval['y']=$list_config['value'][2];

$falshval['imgtype']=$list_config['value'][3];

$list_config['mobile_value']=explode('|',$list_config['mobile_value']);

$falshval['wap_type']=$list_config['mobile_value'][0];

$falshval['wap_y']=$list_config['mobile_value'][1];

$met_flasharray[$list_config['flashid']]=$falshval;

}

$_M[lang]=$lang;

@extract($settings);

可见，这里执行了这条SQL语句，然后将结果extract到上下文中。

而$met_config这个表，格式就是utf8_general_ci，大小写不敏感。

所以，我只需要传入index.php?lang=Cn，在执行上述SQL语句的时候，不影响SQL语句的执行结果；而在进行if($lang==$met_index_type)...比较的时候，Cn != cn，成功进入else语句。

最后，构造下面数据包，注入获取结果：

0x05. 漏洞利用条件

主要条件就是，需要管理员开启伪静态：

没有什么其他条件了，无需登录即可触发。

原文作者：PHITHON 原文链接：https://www.leavesongs.com/PENETRATION/metinfo-5.3.17-sql-injection.html

WEB安全