2.21.3 urldecode

urldecode()

urldecode()函数使用参考

http://www.php.net/manual/zh/function.urldecode.php

<?php
if(eregi("hackerDJ",$_GET[id])) {
echo("

not allowed!

");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "
Access granted!

";
echo "
flag

";
}
?>

tips:

eregi — 不区分大小写的正则表达式匹配

int eregi( string $pattern, string $string[, array &$regs] )

本函数和 ereg() 完全相同，只除了在匹配字母字符时忽略大小写的区别。 

ereg()函数

int ereg ( string $pattern , string $string [, array &$regs ] )

以区分大小写的方式在 string 中寻找与给定的正则表达式 pattern 所匹配的子串。 

如果找到与 pattern 中圆括号内的子模式相匹配的子串并且函数调用给出了第三个参数 regs，则匹配项将被存入 regs 数组中。$regs[1] 包含第一个左圆括号开始的子串，$regs[2] 包含第二个子串，以此类推。$regs[0] 包含整个匹配的字符串。 

如果在 string 中找到 pattern 模式的匹配则返回所匹配字符串的长度，如果没有找到匹配或出错则返回 FALSE。如果没有传递入可选参数 regs 或者所匹配的字符串长度为 0，则本函数返回 1。

代码审计需要满足两个条件：1. id里面不能包含字符串“hackerDJ”

2. id经过urldecode()之后等于字符串“hackerDJ”

利用浏览器默认对提交的数据进行一次url解码

所以对“hackerDJ”二次编码

payload：

http://123.206.87.240:9009/10.php?id=%68ackerDJ

二次urldecode注入

示例代码：

<?php
$a = addslashes($_GET['p']);
$b = urldecode($a);
echo '$a= '.$a;
echo '<br / >';
echo '$b= '.$b;
 ?>

以此代码为例，本来使用了魔术引号的方法，直接提交将会出现单引号

但因为进行了urldecode解码就导致了二次注入问题

成功绕过..

DocCms漏洞分析

代码分析

在/content/search/index.php中，首先对参数keyword进行非法字符检测，

<?php
//首页搜索，站内关键字搜索
function index()
{
    global $db;
    global $request;
    global $params;
    global $tag;    // 标签数组

    !checkSqlStr($request['keyword'])? $request['keyword'] = $request['keyword'] : exit('非法字符');
    $keyword = urldecode($request['keyword']);

    if(empty($keyword))
    {
        echo '<script>alert("请输入您要查询的内容！");window.history.go(-1);</script>';
    }

进一步追溯checkSqlStr函数，看代码如何过滤，在/inc/function.php中

function checkSqlStr($string)
{
    $string = strtolower($string);
    return preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|_user/i', $string);
}

checkSqlStr函数对传入的字符串进行正则匹配，检测是否函数非法字符。

继续看在/content/search/index.php中的get_search_result函数：

function get_search_result($modelName)
{
    global $db,$request;
    !checkSqlStr($request['keyword'])? $request['keyword'] = $request['keyword'] : exit('非法字符');
    $keyword = urldecode($request['keyword']);
    switch($modelName)
    {
        case 'article':
            $sql = "SELECT * FROM ".TB_PREFIX."article WHERE title LIKE '%".$keyword."%' OR content LIKE '%".$keyword."%' ORDER BY id DESC";
            break;
        case 'list':
            $sql="SELECT * FROM ".TB_PREFIX."list WHERE  title LIKE '%".$keyword."%' OR content LIKE '%".$keyword."%' ORDER BY id DESC";
            break;
        case 'product':
            $sql="SELECT * FROM ".TB_PREFIX."product  WHERE title LIKE '%".$keyword."%' OR content LIKE '%".$keyword."%' ORDER BY id DESC";
            break;
        case 'download':
            $sql="SELECT * FROM ".TB_PREFIX."download WHERE title LIKE '%".$keyword."%' OR content LIKE '%".$keyword."%' ORDER BY id DESC";
            break;
        case 'picture':
            $sql="SELECT * FROM ".TB_PREFIX."picture WHERE title LIKE '%".$keyword."%' OR description LIKE '%".$keyword."%' ORDER BY id DESC";
            break;
        case 'video':
            $sql="SELECT * FROM ".TB_PREFIX."video WHERE title LIKE '%".$keyword."%' OR description LIKE '%".$keyword."%' ORDER BY id DESC";
            break;
        case 'jobs':
            $sql="SELECT *  FROM ".TB_PREFIX."jobs WHERE  lastTime>='".date('Y-m-d')."' AND (title LIKE '%".$keyword."%' OR content LIKE '%".$keyword."%')  ORDER BY id DESC";
            break;
        case 'poll':
            $sql="SELECT * FROM ".TB_PREFIX."poll_category  WHERE  title LIKE '%".$keyword."%'  ORDER BY id DESC";
            break;
        default: break;
    }
    return $db->get_results($sql);
}

参数keyword进行非法字符检测后，进行url解码，然后拼接到SQL语句中执行。

如果我们传入双重url编码的字符串，将绕过非法字符检测，然后经urldecode解码，带入数据库中执行，导致SQL注入漏洞存在。

此时就可以使用sqlmap的chardoubleencode.py进行双重编码进行注入了