piwigo v2.9.5的5個sql注入分別是怎樣的

0x0 項(xiàng)目介紹

項(xiàng)目地址：https://github.com/Piwigo/Piwigo

項(xiàng)目介紹：piwigo是用于網(wǎng)絡(luò)的開源照相館軟件。 專為組織，團(tuán)隊(duì)和個人管理您的照片庫而設(shè)計。

官網(wǎng)地址：piwigo.org

0x1 準(zhǔn)備工作

Linux下下載https://github.com/Piwigo/Piwigo/archive/2.9.5.zip解壓、賦權(quán)、進(jìn)入目錄后使用docker安裝：

docker run -d --name piwigo_mysql -e MYSQL_DATABASE=piwigo -e MYSQL_ROOT_PASSWORD=123456 mysql:5.7 docker run -d -p 3000:80 -v $(pwd)/:/var/www/html/ --link piwigo_mysql:mysql --name piwigo nimmis/apache-php5

即可看到啟動界面

0x2 審計

一 admin/group_perm.php中selection和parent參數(shù)存在的注入：

selection值未經(jīng)驗(yàn)證進(jìn)入到move_categories函數(shù)中

追蹤move_categories函數(shù)可以看到函數(shù)把該值分解后直接接入到sql語句中

測試下即可發(fā)現(xiàn)漏洞存在

二 admin/group_list.php中g(shù)roup_selection參數(shù)存在的sql注入：

圖中可以看到group_selection值被放入到$groups中，selectAction值被放入到$action里

代碼中$action對應(yīng)多個動作，但是在多個動作里$group都被直接粘結(jié)到sql語句中，這兒我舉delete方法看下：

這兒很直觀看到被放進(jìn)了sql語句中，試驗(yàn)下

三 admin/user_perm.php中cat_false參數(shù)存在的sql注入：

圖中可以看到cat_false被放入到函數(shù)中，

我們追蹤下這個函數(shù)，在admin/include/functions.php中找到函數(shù)，$cat_false值變?yōu)?category經(jīng)過判斷是否是數(shù)組判斷數(shù)量后被放入get_uppercat_ids函數(shù)中處理，

繼續(xù)追蹤get_uppercat_ids函數(shù)，上述存在漏洞的參數(shù)變?yōu)?cat_ids,圖中可以看到該$cat_ids經(jīng)過簡單判斷被放入sql語句并開始查詢，

這種漏洞函數(shù)跳轉(zhuǎn)比較多，且沒有明顯的看到回顯地方，這種場合特別適合時間注入，我們使用

1 and if(ascii(substr(database(),1,1))>97,1,sleep(5))驗(yàn)證可以發(fā)現(xiàn)網(wǎng)頁打開時間延遲，證明漏洞存在，使用sqlmap跑一波

四 admin/group_perm.php存在的sql漏洞：

這個漏洞跟上面三種admin/user_perm.php漏洞相同，調(diào)用的同一個函數(shù)，只是用戶和組的區(qū)別，看張入口圖意思一下：

sqlmap跑一下

五 admin/batch_manager.php中filter_category參數(shù)存在的注入：我們看具體代碼：

當(dāng)post包中存在’filter_category_use’鍵時將’filter_category’值給xx[‘category’]

往下走，找到xx[‘category’]被調(diào)用的地方，可以看到該值未被過濾直接被放到sql語句中。

需要注意的是這個請求鏈接在網(wǎng)頁中并未找到，需要手工在post包添加filter_category_use=on&filter_category=1

sqlmap跑一下