Discuz 防护绕过分析

made

转自360

最终防注入检查函数在discuz_database_safecheck::checkquery(%s)中，如下

1. 
   
2.         protected static $checkcmd = array('SELECT', 'UPDATE', 'INSERT', 'REPLACE', 'DELETE');
   
3.         protected static $config;
   
4. 
   
5.         public static function checkquery($sql) {
   
6. 
   
7.                 if (self::$config === null) {
   
8.                         self::$config = getglobal('config/security/querysafe');
   
9.                 }
   
10. 
    
11.                 if (self::$config['status']) {
    
12.                         $cmd = trim(strtoupper(substr($sql, 0, strpos($sql, ' '))));
    
13.                         if (in_array($cmd, self::$checkcmd)) {
    
14.                                 $test = self::_do_query_safe($sql);
    
15.                                 if ($test < 1) {
    
16. 
    
17.                                         throw new DbException('It is not safe to do this query', 0, $sql);
    
18.                                 }
    
19.                         }
    
20.                 }
    
21.                 return true;
    
22.         }
    

复制代码

当%s中包含$checkcmd中关键字时就会调用_do_query_safe($sql)进行检查

1. 
   
2.         private static function _do_query_safe($sql) {
   
3. 
   
4.                 $sql = str_replace(array('\\\\', '\\\'', '\"', '\'\''), '', $sql);
   
5.                 $mark = $clean = '';
   
6.                 if (strpos($sql, '/') === false && strpos($sql, '#') === false && strpos($sql, '-- ') === false)
   
7.                 //当$sql中包含/、#、--等字符时就会进入对应替换代码{
   
8.                         $clean = preg_replace("/'(.+?)'/s", '', $sql);
   
9.                 } else {
   
10.                         $len = strlen($sql);
    
11.                         $mark = $clean = '';
    
12.                         for ($i = 0; $i < $len; $i++) {
    
13.                                 $str = $sql[$i];
    
14.                                 switch ($str) {
    
15.                                         case '\''://防注入绕过出现在这里，当$sql中包含/*这样的字符串之后的内容会被替换为空，直到出现*/
    
16.                                                 if (!$mark) {
    
17.                                                         $mark = '\'';
    
18.                                                         $clean .= $str;
    
19.                                                 } elseif ($mark == '\'') {
    
20.                                                         $mark = '';
    
21.                                                 }
    
22.                                                 break;
    
23.                                         case '/':
    
24.                                                 if (empty($mark) && $sql[$i + 1] == '*') {
    
25.                                                         $mark = '/*';
    
26.                                                         $clean .= $mark;
    
27.                                                         $i++;
    
28.                                                 } elseif ($mark == '/*' && $sql[$i - 1] == '*') {
    
29.                                                         $mark = '';
    
30.                                                         $clean .= '*';
    
31.                                                 }
    
32.                                                 break;
    
33.                                         case '#':
    
34.                                                 if (empty($mark)) {
    
35.                                                         $mark = $str;
    
36.                                                         $clean .= $str;
    
37.                                                 }
    
38.                                                 break;
    
39.                                         case "\n":
    
40.                                                 if ($mark == '#' || $mark == '--') {
    
41.                                                         $mark = '';
    
42.                                                 }
    
43.                                                 break;
    
44.                                         case '-':
    
45.                                                 if (empty($mark) && substr($sql, $i, 3) == '-- ') {
    
46.                                                         $mark = '-- ';
    
47.                                                         $clean .= $mark;
    
48.                                                 }
    
49.                                                 break;
    
50. 
    
51.                                         default:
    
52. 
    
53.                                                 break;
    
54.                                 }
    
55.                                 $clean .= $mark ? '' : $str;
    
56.                         }
    
57.                 }
    
58.                 //那么黑客提交/*xxx*/字符之间的xxx会被替换为空，或者#或者-- 时对应后面的内容替换为空保存到$clean变量中
    
59.                 //被替换为空的$clean变量再做下面过滤
    
60. 
    
61.                 $clean = preg_replace("/[^a-z0-9_\-\(\)#\*\/"]+/is", "", strtolower($clean));
    
62. 
    
63.                 if (self::$config['afullnote']) {
    
64.                         $clean = str_replace('/**/', '', $clean);//这里使得/**/完全被替换为空，从而绕过下面$note变量的过滤
    
65.                 }
    
66. .........
    

复制代码

这里黑客可以提交/*! Sql */，把sql放到注释符中间替换为空，mysql中的/*!可以判断mysql版本决定是否执行，从而绕过了disczu内置的防注入检查,也可以使用注释#xxx%0a sql绕过，不过由于#号没有被替换为空，最终会被dnote中的关键字拦截.

所以这里提醒广大站长检查config配置(\config\config_global.php)文件中的

1. 
   
2. $_config['security']['querysafe']['afullnote'] = '0' //禁止 msyql 当中使用注释
   

复制代码

看这个afullnote的值是否是0，如果是1请改为0.
并非某些厂商说的那样只要是最新版本就没风险的说法。如下是一个最新版本的discuz环境，因为插件的sql注入原因结合配置项是$_config['security']['querysafe']['afullnote'] = '1'开启了mysql注释功能，导致一样受到sql注入攻击威胁。

所以再提醒广大站长安全问题的重要性。
由低版本升级过来的，即使现在是最新版本，由于不会自动修改配置项，导致这种升级全部存在安全隐患。

90_

360团队最近还是比较攒的

Hy.

{:soso_e179:}

leehenwu

学习学习  谢谢分享

zccliyn

虽然看不懂但是感谢你的分享，我多看即便就可以看出点门道了。

espandy

讲的很详细了，受用