Redaxo CMS 5.0.0 SQL 注入漏洞

来源https://www.exploit-db.com/exploits/39459/

背景

在逛exploit-db的时候,发现这个漏洞有点意思,就拿过来自己分析了下。Redaxo CMS是一套开源的Web门户内容管理系统(CMS),该系统支持自定义模块、插件扩展、项目备份等。

审计

根据报错信息可以定位到该文件,/redaxo-cms-5.0.0/redaxo/src/addons/mediapool/pages/media.php,第582行-608行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
...
 $where = 'f.category_id=' . $rex_file_category;
    $addTable = '';
    if ($media_name != '') {
        $media_name = str_replace(['_', '%'], ['\_', '\%'], $media_name);
        $where = "(f.filename LIKE '%" . $media_name . "%' OR f.title LIKE '%" . $media_name . "%')";
        if (rex_addon::get('mediapool')->getConfig('searchmode', 'local') != 'global' && $rex_file_category != 0) {
            $addTable = rex::getTablePrefix() . 'media_category c, ';
            $where .= ' AND f.category_id = c.id ';
            $where .= " AND (c.path LIKE '%|" . $rex_file_category . "|%' OR c.id=" . $rex_file_category . ') ';
        }
    }
    if (isset($args['types'])) {
        $types = [];
        foreach (explode(',', $args['types']) as $type) {
            $types[] = 'LOWER(RIGHT(f.filename, LOCATE(".", REVERSE(f.filename))-1))="' . strtolower(htmlspecialchars($type)) . '"';
        }
        $where .= ' AND (' . implode(' OR ', $types) . ')';
    }
    $qry = 'SELECT * FROM ' . $addTable . rex::getTablePrefix() . 'media f WHERE ' . $where . ' ORDER BY f.updatedate desc, f.id desc';
    // ----- EXTENSION POINT
    $qry = rex_extension::registerPoint(new rex_extension_point('MEDIA_LIST_QUERY', $qry, [
        'category_id' => $rex_file_category,
    ]));
    $files = rex_sql::factory();
//   $files->setDebug();
    $files->setQuery($qry);
    ...

也就是

1
$qry = 'SELECT * FROM ' . $addTable . rex::getTablePrefix() . 'media f WHERE ' . $where . ' ORDER BY f.updatedate desc, f.id desc';

这条sql语句存在问题了,那么关键看下 $where变量是否可控,继续向上找,$where中一共拼接了两个变量,media_namerex_file_category,那么先看media_name是从哪里来的,定位到/redaxo-cms-5.0.0/redaxo/src/addons/mediapool/pages/media.php,第8行

1
$media_name = rex_request('media_name', 'string');

接下来继续找到rex_request函数的实现位置,查看对请求做了哪些封装,定位到/redaxo-cms-5.0.0/redaxo/src/core/functions/function_rex_globals.php,第29行-37行

1
2
3
4
5
6
7
8
9
/**
 * @see rex_request::request()
 *
 * @package redaxo\core
 */
function rex_request($varname, $vartype = '', $default = '')
{
    return rex_request::request($varname, $vartype, $default);
}

可以看到这个函数实际上是去调用了rex_request类的request方法,于是去找rex_request类的实现代码去,定位到/redaxo-cms-5.0.0/redaxo/src/core/lib/request.php,第38行-50行

1
2
3
4
5
6
7
8
9
10
11
12
13
/**
    * Returns the variable $varname of $_REQUEST and casts the value.
    *
    * @param string $varname Variable name
    * @param string $vartype Variable type
    * @param mixed  $default Default value
    *
    * @return mixed
    */
   public static function request($varname, $vartype = '', $default = '')
   {
       return self::arrayKeyCast($_REQUEST, $varname, $vartype, $default);
   }

这里又调用了rex_request类自身的arrayKeyCast方法,找到该方法的实现,第168行-194行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
/**
     * Searches the value $needle in array $haystack and returns the casted value.
     *
     * @param array      $haystack Array
     * @param string|int $needle   Value to search
     * @param string     $vartype  Variable type
     * @param mixed      $default  Default value
     *
     * @throws InvalidArgumentException
     *
     * @return mixed
     */
    private static function arrayKeyCast(array $haystack, $needle, $vartype, $default = '')
    {
        if (!is_scalar($needle)) {// 判断$needle是否是标量
            throw new InvalidArgumentException('Scalar expected for $needle in arrayKeyCast()!');
        }
        if (array_key_exists($needle, $haystack)) {// 如果$haystack含有$needle键
            return rex_type::cast($haystack[$needle], $vartype);
        }
        if ($default === '') {
            return rex_type::cast($default, $vartype);
        }
        return $default;
    }

注意到传给arrayKeyCast$haystack参数值是$_REQUEST来的,$needle参数值是media_name$vartype参数值是string,所以进入了

1
2
3
4
5
...
if (array_key_exists($needle, $haystack)) {// 如果$haystack含有$needle键
            return rex_type::cast($haystack[$needle], $vartype);
        }
...

后直接调用了rex_type类的cast方法校验变量类型,找到cast方法的实现代码,/redaxo-cms-5.0.0/redaxo/src/core/lib/util/type.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
/**
     * Casts the variable $var to $vartype.
     *
     * Possible types:
     *  - 'bool' (or 'boolean')
     *  - 'int' (or 'integer')
     *  - 'double'
     *  - 'string'
     *  - 'float'
     *  - 'real'
     *  - 'object'
     *  - 'array'
     *  - 'array[<type>]', e.g. 'array[int]'
     *  - '' (don't cast)
     *  - a callable
     *  - array(
     *      array(<key>, <vartype>, <default>),
     *      array(<key>, <vartype>, <default>),
     *      ...
     *    )
     *
     * @param mixed $var     Variable to cast
     * @param mixed $vartype Variable type
     *
     * @throws InvalidArgumentException
     *
     * @return mixed Castet value
     */
    public static function cast($var, $vartype)
    {
        if (is_string($vartype)) {
            $casted = true;
            switch ($vartype) {
                // ---------------- PHP types
                case 'bool':
                case 'boolean':
                    $var = (boolean) $var;
                    break;
                case 'int':
                case 'integer':
                    $var = (int) $var;
                    break;
                case 'double':
                    $var = (double) $var;
                    break;
                case 'float':
                case 'real':
                    $var = (float) $var;
                    break;
                case 'string':
                    $var = (string) $var;
                    break;
                case 'object':
                    $var = (object) $var;
                    break;
                case 'array':
                    if ('' === $var) {
                        $var = [];
                    } else {
                        $var = (array) $var;
                    }
                    break;
                    // kein Cast, nichts tun
                case '': break;
                default:
                    // check for array with generic type
                    if (strpos($vartype, 'array[') === 0) {
                        if (empty($var)) {
                            $var = [];
                        } else {
                            $var = (array) $var;
                        }
                        // check if every element in the array is from the generic type
                        $matches = [];
                        if (preg_match('@array\[([^\]]*)\]@', $vartype, $matches)) {
                            foreach ($var as $key => $value) {
                                try {
                                    $var[$key] = self::cast($value, $matches[1]);
                                } catch (InvalidArgumentException $e) {
                                    // Evtl Typo im vartype, mit urspr. typ als fehler melden
                                    throw new InvalidArgumentException('Unexpected vartype "' . $vartype . '" in cast()!');
                                }
                            }
                        } else {
                            throw new InvalidArgumentException('Unexpected vartype "' . $vartype . '" in cast()!');
                        }
                    } else {
                        $casted = false;
                    }
            }
            if ($casted) {
                return $var;
            }
        }
        if (is_callable($vartype)) {
            $var = call_user_func($vartype, $var);
        } elseif (is_array($vartype)) {
            $var = self::cast($var, 'array');
            $newVar = [];
            foreach ($vartype as $cast) {
                if (!is_array($cast) || !isset($cast[0])) {
                    throw new InvalidArgumentException('Unexpected vartype in cast()!');
                }
                $key = $cast[0];
                $innerVartype = isset($cast[1]) ? $cast[1] : '';
                if (array_key_exists($key, $var)) {
                    $newVar[$key] = self::cast($var[$key], $innerVartype);
                } elseif (!isset($cast[2])) {
                    $newVar[$key] = self::cast('', $innerVartype);
                } else {
                    $newVar[$key] = $cast[2];
                }
            }
            $var = $newVar;
        } elseif (is_string($vartype)) {
            throw new InvalidArgumentException('Unexpected vartype "' . $vartype . '" in cast()!');
        } else {
            throw new InvalidArgumentException('Unexpected vartype in cast()!');
        }
        return $var;
    }

$vartypestring的时候,直接强制转换了下就break跳出,return了,全部过程没看到安全过滤函数的干预,所以是存在严重SQL注入问题的。

验证

访问

http://localhost:8888/redaxo-cms-5.0.0/redaxo/index.php?page=mediapool/media&rex_file_category=0

在该页面右侧搜索框搜索任意字符串,post数据中参数media_name即为注入点,结合之前的分析,后端接收数据的方式为$_REQUEST,那么将media_name参数直接带到url后面以get方式请求也是可以被后端获取的。

http://localhost:8888/redaxo-cms-5.0.0/redaxo/index.php?page=mediapool/media&rex_file_category=0&media_name=abc%27)%20ORDER%20BY%2018+--+

order by 18报错,那么列的数目就是17,使用union select语句把页面回显位置显示出来

huixian

可以看到回显位置有10,14,16

poc

总结

这个漏洞比较有意思的地方来了,我留意到该cms选择的pdo方式连接数据库,那么怎么会出这样的sql注入问题呢?说完就抽了自己一大嘴瓜子,为什么不会出这样的sql注入问题呢?毕竟代码是人写的,下面就分析下为什么造成了sql注入。

首先这个锅是程序员的,明明选择了pdo方式连接数据库,但是写sql语句的时候却直接拼接了参数,而不是采用pdo的参数绑定或者prepare方式,从而造成了注入问题。

定位到/redaxo-cms-5.0.0/redaxo/src/addons/mediapool/pages/media.php,第600行-608行

1
2
3
4
5
6
7
8
9
$qry = 'SELECT * FROM ' . $addTable . rex::getTablePrefix() . 'media f WHERE ' . $where . ' ORDER BY f.updatedate desc, f.id desc';
    // ----- EXTENSION POINT
    $qry = rex_extension::registerPoint(new rex_extension_point('MEDIA_LIST_QUERY', $qry, [
        'category_id' => $rex_file_category,
    ]));
    $files = rex_sql::factory();
//   $files->setDebug();
    $files->setQuery($qry);

看到$qry变量拼接了$where变量,而$where里面又拼接了$media_name变量,第586行

$where = "(f.filename LIKE '%" . $media_name . "%' OR f.title LIKE '%" . $media_name . "%')";

最后sql语句$qry变量传入了setQuery函数,找到setQuery函数的实现,定位到/redaxo-cms-5.0.0/redaxo/src/core/lib/sql/sql.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
/**
     * Executes the given sql-query.
     *
     * If parameters will be provided, a prepared statement will be executed.
     *
     * example 1:
     *    $sql->setQuery('SELECT * FROM mytable where id=:id, 'array('id' => 3));
     *
     * NOTE: named-parameters/?-placeholders are not supported in LIMIT clause!
     *
     * @param string $query  The sql-query
     * @param array  $params An optional array of statement parameter
     *
     * @return $this
     *
     * @throws rex_sql_exception on errors
     */
    public function setQuery($query, array $params = [])
    {
        // Alle Werte zuruecksetzen
        $this->flush();
        $this->query = $query;
        $this->params = $params;
        if (!empty($params)) {
            $this->prepareQuery($query);
            $this->execute($params);
        } else {
            try {
                $this->stmt = self::$pdo[$this->DBID]->query($query);
                $this->rows = $this->stmt->rowCount();
            } catch (PDOException $e) {
                throw new rex_sql_exception('Error while executing statement "' . $query . '! ' . $e->getMessage());
            }
        }
        if ($this->debug) {
            $this->printError($query, $params);
        }
        return $this;
    }

由于没有传递$params参数,所以if语句直接进入else逻辑,使用query直接执行了sql语句中我们拼接的恶意代码。

到这里其实还没完,又惊奇的发现sqlmap提供的payload里面使用了多语句,这让我想到了php+mysql多语句执行,mysql本身从4.1版本就已经开始支持多语句执行了,只是php自身限制了这种用法,虽然connect的时候可以设置CLIENT_MULTI_STATEMENTS,但是php在mysql_query/mysqli_query函数实现的源码级别仍然会去除掉该设置。但pdo方式连数据后默认是允许多语句执行的,但并不是完全没限制,因为pdo方式操作数据库都是采用参数绑定预编译sql语句的,而这种绑定是在客户端执行的,这种情况是不需要多语句执行的。以前在zone里面有一篇帖子

“真正可以利用的多语句注射,只能是存在于利用PDO连接数据库,并直接使用exec或者query函数进行执行sql语句的地方”

由于恰巧该cms在执行sql语句的时候未严格执行pdo标准使用参数绑定方式,而采用了直接拼接参数到sql语句,执行的时候直接使用了query函数,因此造成了多语句执行。

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    2、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: true
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

Wismartzy, <br>毕业于杭电, 从事安全行业<br><br>增肥计划进行中