2.21.6 is_numeric

is_numeric()

is_numeric()函数语法:

is_numeric — 检测变量是否为数字或数字字符串 

bool is_numeric( mixed $var)

如果 var 是数字和数字字符串则返回 TRUE，否则返回 FALSE。

示例代码

<?php
$a= '23333333abc';
if(is_numeric($a)){
    echo "6";
}else{
    echo "flase";
}
if($a>1000){
    echo "666";
}

?>

因为在php中如果比较一个数字和字符串或者比较涉及到数字内容的字符串，则字符串会被转换成数值并且比较按照数值来进行，所以就绕过了is_numeric()函数。

我们下面来看一下is_numeric()函数造成的sql注入问题。

示例代码如下：

<?php

$conn = mysql_connect('127.0.0.1','root','root'); 

mysql_select_db('fendo',$conn);

$user = addslashes($_GET['user']);

$flag = is_numeric ($user) ? true : false;

if($flag){

$sql = "SELECT id,username,password FROM user WHERE username=$user"; 

$res = mysql_query($sql);

if($res){ 

while($row = mysql_fetch_array($res)){

var_dump($row);

}

}else{

echo '----------数据库没有符合此条件的用户记录----------';

echo '<br />';

}

}else

{

var_dump ($flag);

}

?>

这个代码的逻辑其实很简单，接收user的值，判断是否为数字，若为数字，则带入到数据库进行查询，否则不查询。

那么我们再来看下数据库的结构：

可是我们的username是一个字符型，但是参数又只能为数字型，理论上来说是没有办法进行注入的 。

但是在is_numeric()函数中，不仅仅是十进制的数字，如：

<?php
echo is_numeric(233333);       # 1
echo is_numeric('233333');  # 1
echo is_numeric(0x233333);  # 1
echo is_numeric('0x233333');   # 1
echo is_numeric('233333abc');  # 0
?>

我们可以看到，它是支持是hex编码的，同样，mysql也支持hex编码，所以这里就就导致我们可以使用hex进行注入，如：

admin=0x61646d696e

则：

我们来看一个二次注入的例子：

示例代码：

<?php


$conn = mysql_connect('127.0.0.1','root','root'); 

mysql_select_db('dvwa',$conn);

$user = addslashes($_GET['user']);

$flag = is_numeric ($user) ? true : false;

if($flag)

{

//保存最大user_id

$max_id;

//保存导出的playload

$playload;

//查出数据库中最大的user_id

$query_max_id = "select max(user_id) from users";

$res = mysql_query($query_max_id);

if($res)

{ 

$rows = mysql_fetch_array($res);

$max_id = $rows['user_id'];

//echo $max_id;

echo '----------max_id查询成功----------';

}

else

{

echo '----------max_id查询失败----------';

}

//更新最大user_id行的用户名

$gx = "update users set user=$user where user_id=$max_id";

$res = mysql_query($gx);

if($res)

{ 

echo '----------用户数据更新成功----------';

echo '----------插入十六进制成功----------';

}

else

{

echo '----------用户数据更新失败----------';

echo '----------插入十六进制未成功----------';

}

//导出插入的playload

$playload = "SELECT user FROM users WHERE user_id=$max_id";

$res = mysql_query($playload);

if($res)

{ 

$rows = mysql_fetch_array($res);

$playload = $rows['user'];

echo '----------playload成功导出----------';

}

else

{

echo '----------playload导出失败----------';

}

//将导出的playload拼接到select语句中执行

$play = "SELECT user_id,user,password FROM users WHERE user=$playload"; 

$res = mysql_query($play);

if($res)

{ 

$row = mysql_fetch_array($res);

var_dump($row);

echo '----------注入已成功----------';

}

else
{

echo '----------输入数据不是数字或者数字字符串----------';

}

?>

这段代码实现对max(user_id)行的用户名实现十六进制playload的写入，然后，通过select语句又将写入的十六进制playload查询出来，从而实现了二次注入。

PHPYun二次注入.

问题代码如下:

# /app/public/action.class.php
function FormatValues($Values){
    $ValuesStr='';
    foreach($Values as $k=>$v){
        if(is_numeric($k)){
            $ValuesStr.=','.$v;
        }else{
            if(is_numeric($v)){
                $ValuesStr.=',`'.$k.'`='.$v;
            }else{
                $ValuesStr.=',`'.$k.'`=\''.$v.'\'';
            }
        }
    }
    return substr($ValuesStr,1);
}

多个数据表模型都用到了这个函数，基本都是Update操作。现在的思路是利用接口将恶意代码Update进数据库，再通过其他接口，从数据库读恶意数据，在再次存到数据库的时候，进行注入

从DB层（friend.model.php）可以找到GetFriendInfo():

function GetFriendInfo($Where=array(),$Options=array()){
    $WhereStr=$this->FormatWhere($Where);
    $FormatOptions=$this->FormatOptions($Options);
    $row=$this->DB_select_once('friend_info',$WhereStr,$FormatOptions['field']);
    if($row['pic']==''){
        $row['pic']=$row['pic_big']=$this->config['sy_weburl'].'/'.$this->config['sy_friend_icon'];
    }else{
        $row['pic'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic']);
        $row['pic_big'] = str_replace("../",$this->config['sy_weburl']."/",$row['pic_big']);
    }
    return $row;
}

跟进member_log函数：

function member_log($content,$opera='',$type=''){
    if($_COOKIE['uid']){
        $value="`uid`='".(int)$_COOKIE['uid']."',";
        $value.="`usertype`='".(int)$_COOKIE['usertype']."',";
        $value.="`content`='".$content."',";
        $value.="`opera`='".$opera."',";
        $value.="`type`='".$type."',";
        $value.="`ip`='".fun_ip_get()."',";
        $value.="`ctime`='".time()."'";
        $this->DB_insert_once("member_log",$value);
    }
}

跟进DB_insert_once函数：

function DB_insert_once($tablename, $value){
    $SQL = "INSERT INTO `" . $this->def . $tablename . "` SET ".$value;
    $this->db->query("set sql_mode=''");
    $this->db->query($SQL);
    $nid= $this->db->insert_id();
    return $nid;
}

先尝试通过hex编码写入测试信息，如图所示 。刷新后，成功写入！ http://127.0.0.1/phpyun0625/friend/index.php?c=info

测试二次注入的接口，在DB_insert_once()打印SQL语句 http://127.0.0.1/phpyun0625/ask/index.php?c=friend&a=atnuser POST: id=2 返回结果如下：

INSERT INTO `phpyun_atn` SET `uid`='2',`sc_uid`='1',`usertype`='1',`sc_usertype`='1',`time`='1444726415'
INSERT INTO `phpyun_friend_state` SET `uid`='2',`content`='关注了<a href=\"http://127.0.0.1/phpyun0625/ask/index.php?c=friend&uid=1\">\'\"</a>',`type`='2',`ctime`='1444726415'
INSERT INTO `phpyun_sysmsg` SET `fa_uid`='1',`content`='用户 bb2 关注了你！',`username`='bb1',`ctime`='1444726415'
INSERT INTO `phpyun_member_log` SET `uid`='2',`usertype`='1',`content`='关注了'"',`opera`='',`type`='',`ip`='127.0.0.1',`ctime`='1444726415'
1

php比较

php在转码时会把16进制转化为十进制

<?php
error_reporting(0);
function noother_says_correct($temp)
{
$flag = 'flag{test}';
$one = ord('1'); //ord — 返回字符的 ASCII 码值
$nine = ord('9'); //ord — 返回字符的 ASCII 码值
$number = '3735929054';
// Check all the input characters!
for ($i = 0; $i < strlen($number); $i++)
{
// Disallow all the digits!
$digit = ord($temp{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
// Aha, digit not allowed!
return "flase";
}
}
if($number == $temp)
return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

首先分析代码，函数要求变量$temp不能存在1~9之间的数字， 最后，又要求$temp=3735929054;利用php在转码时会把16进制转化为十进制.于是把 3735929054转换成16进制为0xdeadc0de，记得带上0x； 构造payload

?password=0xdeadc0de