Redian新闻
>
代码审计之逃不过的命运

代码审计之逃不过的命运

科技



噩耗传来



就这样被你征服,喝下你藏好的毒。。。。真的是爆头【抱头】唱征服。


亡羊补牢

反手就做个更新。

漏洞复现

  • • 后台增加可执行的语句。

  • • 创建非管理组的用户

  • • 换浏览器登录

选择小明账户登录,此时注意,添加的路由规则,在这个角色下,要有权限。

代码分析

入口文件中构造方法。里面存在父级的方法,跟进去。

public function _initialize(){    parent::_initialize();    //移除HTML标签    $this->request->filter('trim,strip_tags,htmlspecialchars');}进入到父级的方法体。public function _initialize(){        $modulename = $this->request->module();        $controllername = Loader::parseName($this->request->controller());        $actionname = strtolower($this->request->action());
$path = str_replace('.', '/', $controllername) . '/' . $actionname;
// 定义是否Addtabs请求 !defined('IS_ADDTABS') && define('IS_ADDTABS', input("addtabs") ? true : false);
// 定义是否Dialog请求 !defined('IS_DIALOG') && define('IS_DIALOG', input("dialog") ? true : false);
// 定义是否AJAX请求 !defined('IS_AJAX') && define('IS_AJAX', $this->request->isAjax());
$this->auth = Auth::instance();
// 设置当前请求的URI $this->auth->setRequestUri($path); // 检测是否需要验证登录 if (!$this->auth->match($this->noNeedLogin)) { //检测是否登录 if (!$this->auth->isLogin()) { Hook::listen('admin_nologin', $this); $url = Session::get('referer'); $url = $url ? $url : $this->request->url(); if ($url == '/') { $this->redirect('index/login', [], 302, ['referer' => $url]); exit; } $this->error(__('Please login first'), url('index/login', ['url' => $url])); } // 判断是否需要验证权限 if (!$this->auth->match($this->noNeedRight)) { // 判断控制器和方法判断是否有对应权限 if (!$this->auth->check($path)) { Hook::listen('admin_nopermission', $this); $this->error(__('You have no permission'), ''); } } }
// 非选项卡时重定向 if (!$this->request->isPost() && !IS_AJAX && !IS_ADDTABS && !IS_DIALOG && input("ref") == 'addtabs') { $url = preg_replace_callback("/([\?|&]+)ref=addtabs(&?)/i", function ($matches) { return $matches[2] == '&' ? $matches[1] : ''; }, $this->request->url()); if (Config::get('url_domain_deploy')) { if (stripos($url, $this->request->server('SCRIPT_NAME')) === 0) { $url = substr($url, strlen($this->request->server('SCRIPT_NAME'))); } $url = url($url, '', false); } $this->redirect('index/index', [], 302, ['referer' => $url]); exit; }
// 设置面包屑导航数据 $breadcrumb = $this->auth->getBreadCrumb($path);

在父级方法体里有获取导航的数据方法,getBreadCrumb。接着进去

public function getBreadCrumb($path = ''){        if ($this->breadcrumb || !$path) {            return $this->breadcrumb;        }        $titleArr = [];        $menuArr = [];        $urlArr = explode('/', $path);        foreach ($urlArr as $index => $item) {            $pathArr[implode('/', array_slice($urlArr, 0, $index + 1))] = $index;        }        if (!$this->rules && $this->id) {            $this->getRuleList();        }

此方法中的getRuleList里,存在获得规则具体逻辑。接着进来

public function getRuleList($uid = null){    $uid = is_null($uid) ? $this->id : $uid;    return parent::getRuleList($uid);}这里又跳到了父链,在父级中的getRuleList方法体如下。 public function getRuleList($uid){        static $_rulelist = []; //保存用户验证通过的权限列表        if (isset($_rulelist[$uid])) {            return $_rulelist[$uid];        }        if (2 == $this->config['auth_type'] && Session::has('_rule_list_' . $uid)) {            return Session::get('_rule_list_' . $uid);        }
// 读取用户规则节点 $ids = $this->getRuleIds($uid); if (empty($ids)) { $_rulelist[$uid] = []; return []; }
// 筛选条件 $where = [ 'status' => 'normal' ]; if (!in_array('*', $ids)) { $where['id'] = ['in', $ids]; } //读取用户组所有权限规则 $this->rules = Db::name($this->config['auth_rule'])->where($where)->field('id,pid,condition,icon,name,title,ismenu')->select();
//循环规则,判断结果。 $rulelist = []; // if (in_array('*', $ids)) { $rulelist[] = "*"; } foreach ($this->rules as $rule) { //超级管理员无需验证condition if (!empty($rule['condition']) && !in_array('*', $ids)) { //根据condition进行验证 $user = $this->getUserInfo($uid); //获取用户信息,一维数组 $command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']); @(eval('$condition=(' . $command . ');')); if ($condition) { $rulelist[$rule['id']] = strtolower($rule['name']); }
在这段截取的代码中,尾部的位置有个明晃晃的eval几个大字啊。这是要干嘛,这是要留后门啊。寻求开发的说辞,截图如下:




不明所以然的观众不少哇。说明文档中没有提及怎么用,回归源码找注释。



注释说,如果分数大于,或者小于什么,怎么怎么样。在修复的代码里有这么一段正则匹配。"/^(\w+)\s?([\>\<\=]+)\s?(.*)$/"。里面包含大小于号,确实是一个条件的判断。正常的逻辑权限控制,都是某个角色有哪个权限,这里使用的场景,可能角色里面还能再判断细分吧。不过,一直没用过。未解其中味啊。

二:为什么非要小权限,看下图:

//超级管理员无需验证condition
if (!empty($rule['condition']) && !in_array('*', $ids)) {
这里判断了是否是*号,是*号就是超级管理员。求证数据库。截图下:
其他的都是数字,只有admin是*。

修复

将以下代码

$command = preg_replace('/\{(\w*?)\}/', '$user[\'\\1\']', $rule['condition']);@(eval('$condition=(' . $command . ');'));if ($condition) {    $rulelist[$rule['id']] = strtolower($rule['name']);}

替换成

$nums = 0;$condition = str_replace(['&&', '||'], "\r\n", $rule['condition']);$condition = preg_replace('/\{(\w*?)\}/', '\\1', $condition);$conditionArr = explode("\r\n", $condition);foreach ($conditionArr as $index => $item) {    preg_match("/^(\w+)\s?([\>\<\=]+)\s?(.*)$/", trim($item), $matches);    if ($matches && isset($user[$matches[1]]) && version_compare($user[$matches[1]], $matches[3], $matches[2])) {        $nums++;    }}if ($conditionArr && ((stripos($rule['condition'], "||") !== false && $nums > 0) || count($conditionArr) == $nums)) {    $rulelist[$rule['id']] = strtolower($rule['name']);}

总结

如果你担心某种情况发生,那么它就更有可能发生----墨菲定律第四条。感觉RCE的东西还是在危险函数处多用心,攻防都在此。



E

N

D



Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。

团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室,近三年来在网络安全技术方面开展研发项目60余项,获得各类自主知识产权30余项,省市级科技项目立项20余项,研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。对安全感兴趣的小伙伴可以加入或关注我们。


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
生姜麻油鸡腿GQ报道 | 罗永浩:我一定不会坐视我的命运走向悲壮中越渔民一桩再平常不过的地下交易,却把海南坑惨了罗新:人不单单是命运的承受者,也是命运的创造者你的假期,为什么总是逃不掉加班的命运?独行的安全考量多少人的命运,被她一句话改变了xyhcms 代码审计之模板注入自留地--成长阶段--01超长待机女王殡天,王室和英国的命运也随她一同西去【报告】中国企业低代码/无代码产品应用与实践研究——构建数字化作业体系的变速齿轮 | 甲子光年智库前四大高级审计告诉你:如何准备审计面试继续加油,我的国!你承载了我们所有人的命运阿富汗特种部队女兵,为自己的命运而战从李易峰嫖娼说起:“交际花”和“富家小姐”的命运,为何都以悲剧收场?观夏国子监,新的命运这场区域数字化竞赛,或改变4800万中小企业的命运高考志愿,如何影响一个人的命运?观察 | 审美倒退还是自由回归,人类逃不过“丑”鞋子吗?你的心态,就是你的命运连杜拉斯都逃脱不了读绘本的命运……心中这杆秤,别让钱摆平遇见能人,越来越重,UPS寄种子,百花争艳检察官老炮:反渎局“铁虎”的命运沉浮 | 人间维纳斯、City boy都逃不过,过了20多年,超扁平风格依然火爆!冯艳 | 在长江边纪录三峡人的命运“如果流产了,我就要你的命”:被挖掉眼球、孕期被拳打脚踢,她为什么就是逃不掉?可怕!澳华裔小哥老觉得肚子疼,GP说没事!结果一查已是肠癌晚期!活不过1年!在澳洲,误诊真的要了好多人的命!主人晒金毛一年前后对比照,薯条变地瓜…连狗子都逃不过的中年发福哈哈!这个星座总是逃不过自我折磨华西村褪去光环,曾经的天下第一村逃不过时代的宿命没看过王朔的书,但你逃不过他的影视你在家庭扮演什么角色,暗示了你的命运【今晚七点】统计之都云讲堂第五讲 | 袁凡:探索定西市的 Sci-Hub 流量之谜在四川,每个人都逃不过红旗连锁
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。