Metinfo 8月1日升級了版本，修復(fù)了一個影響小于等于5.3.17版本(幾乎可以追溯到所有5.x版本)的SQL注入漏洞。這個SQL注入漏洞不受軟WAF影響，可以直接獲取數(shù)據(jù)，影響較廣。

### 0x01. 漏洞原理分析

漏洞出現(xiàn)在 `/include/global.func.php` 文件的 `jump_pseudo` 函數(shù)：

```

/*靜態(tài)頁面跳轉(zhuǎn)*/

function jump_pseudo(){

global $db,$met_skin_user,$pseudo_jump;

global $met_column,$met_news,$met_product,$met_download,$met_img,$met_job;

global $class1,$class2,$class3,$id,$lang,$page,$selectedjob;

global $met_index_type,$index,$met_pseudo;

if($met_pseudo){

$metadmin[pagename]=1;

$pseudo_url=$_SERVER[HTTP_X_REWRITE_URL]?$_SERVER[HTTP_X_REWRITE_URL]:$_SERVER[REQUEST_URI];

$pseudo_jump=@strstr($_SERVER['SERVER_SOFTWARE'],'IIS')&&$_SERVER[HTTP_X_REWRITE_URL]==''?1:$pseudo_jump;

$dirs=explode('/',$pseudo_url);

$dir_dirname=$dirs[count($dirs)-2];

$dir_filename=$dirs[count($dirs)-1];

if($pseudo_jump!=1){

$dir_filenames=explode('?',$dir_filename);

switch($dir_filenames[0]){

case 'index.php':

if(!$class1&&!$class2&&!$class3){

if($index=='index'){

if($lang==$met_index_type){

$jump['url']='./';

}else{

$jump['url']='index-'.$lang.'.html';

}

}else{

if($lang==$met_index_type){

$jump['url']='./';

}else{

$id=$class3?$class3:($class2?$class2:$class1);

if($id){

$query="select * from $met_column where id='$id'";

}else{

$query="select * from $met_column where foldername='$dir_dirname' and lang='$lang' and (classtype='1' or releclass!='0') order by id asc";

}

$jump=$db->get_one($query);

$psid= ($jump['filename']<>"" and $metadmin['pagename'])?$jump['filename']:$jump['id'];

if($jump[module]==1){

$jump['url']='./'.$psid.'-'.$lang.'.html';

}else if($jump[module]==8){

$jump['url']='./'.'index-'.$lang.'.html';

}

else{

if($page&&$page!=1)$psid.='-'.$page;

$jump['url']='./'.'list-'.$psid.'-'.$lang.'.html';

}

}

}

...

}

```

代碼截的不全，只關(guān)注一下這幾個操作：

1. `$pseudo_url=$_SERVER[HTTP_X_REWRITE_URL]?$_SERVER[HTTP_X_REWRITE_URL]:$_SERVER[REQUEST_URI];`： 從`$_SERVER[HTTP_X_REWRITE_URL]`中獲取`$pseudo_url`變量

2. `$dirs=explode('/',$pseudo_url);`：將`$pseudo_url`變量用斜線分割成$dirs數(shù)組

3. `$dir_dirname=$dirs[count($dirs)-2];`：獲取`$dir`s的倒數(shù)第二個元素作為`$dir_dirnamr`變量

4. `$query="select * from $met_column where foldername='$dir_dirname' and lang='$lang' and (classtype='1' or releclass!='0') order by id asc";`：`$dir_dirname`變量被拼接進(jìn)SQL語句

所以，通過分析可知，`$_SERVER[HTTP_X_REWRITE_URL]`的一部分，最終被拼接進(jìn)SQL語句。那么，如果Metinfo沒有對HTTP頭進(jìn)行驗證的情況下，將導(dǎo)致一個SQL注入漏洞。

看一下Metinfo對于變量的獲取方式：

```

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {

foreach($$_request as $_key => $_value) {

$_key{0} != '_' && $$_key = daddslashes($_value,0,0,1);

$_M['form'][$_key] = daddslashes($_value,0,0,1);

}

}

```

使用`daddslashes`函數(shù)過濾GPC變量，`daddslashes`這個函數(shù)確實(shí)很討厭，不光有轉(zhuǎn)義，而且有很不友好的軟WAF。但我們這里這個注入點(diǎn)是來自于SERVER變量，所以是不受軟WAF影響的。

### 0x02. 漏洞利用缺陷

那么，我們看看如何才能進(jìn)入這個注入的位置。

`jump_pseudo`函數(shù)前面有一些條件語句，歸納一下主要有下面幾個：

1. 需要滿足`if($met_pseudo)...`

2. 需要滿足`if($pseudo_jump!=1)...`

3. 需要滿足`switch($dir_filenames[0]){ case 'index.php':...`

4. 需要滿足`if(!$class1&&!$class2&&!$class3)...`

5. 不能滿足`if($index=='index')...`

6. 不能滿足`if($lang==$met_index_type)...`

翻譯成漢字，大意就是：

1. `$met_pseudo`必須為真。`$met_pseudo`這個變量是指系統(tǒng)是否開啟了偽靜態(tài)，也就說這個漏洞需要開啟偽靜態(tài)才能夠利用。

2. `$pseudo_jump`不等于1。這個條件，只要`$_SERVER[HTTP_X_REWRITE_URL]`有值即可滿足。

3. `$dir_filenames[0`]必須等于`'index.php'`，這個變量是可控的。

4. `class1`、`class2`、`class`3不能有值。這個條件，只要我訪問的是`index.php`，并且不主動傳入這三個參數(shù)，即可滿足。

5. `$index`不能等于`'index'`，這個變量也是可控的，傳入?yún)?shù)`index=xxxx`即可

5. `$lang`不能等于`$met_index_type`

這6個條件語句中，2~5中的變量都可控，1中的變量只要開啟偽靜態(tài)即可滿足，唯獨(dú)6需要單獨(dú)分析一下。

`$lang`是我們傳入的參數(shù)，代表給訪客顯示的語言是什么。Metinfo默認(rèn)安裝時，將存在3種語言：簡體中文(cn)、英文(en)、繁體中文(tc)，而`$met_index_type`表示默認(rèn)語言類型，默認(rèn)是中文，也就是cn。

而Metinfo的配置(包括偽靜態(tài)相關(guān)的配置)，是和語言有關(guān)系的，不同語言的配置不相同。默認(rèn)情況下，如果管理員在后臺開啟偽靜態(tài)，將只會修改lang=cn時的配置。

那么，正常情況下，我們傳入`index.php?lang=cn`，將會導(dǎo)致`if($lang==$met_index_type)...`這個條件成立，也就沒法進(jìn)入SQL注入的語句中；如果我們傳入`index.php?lang=en`，又導(dǎo)致偽靜態(tài)配置恢復(fù)默認(rèn)，也就是`$met_pseudo = 0`，導(dǎo)致進(jìn)不去步驟1的if語句；如果我們傳入一個不存在的lang，比如`index.php?lang=xxx`，將會導(dǎo)致報錯：`No data in the database,please reinstall.`

這就比較蛋疼。此時，就需要利用到Mysql的一個特性。

### 0x03. Mysql 大小寫特性回顧

Mysql對于內(nèi)容的存儲方式，有如下兩個概念：字符集(character set)和collation(比對方法)。

二者組合成Mysql的字符格式，一般來說分為這兩類：

```

__

_bin

```

比如，最常用的`utf8_general_ci`，就是第一種格式。

我們這里需要關(guān)注的就是最后一串：ci、cs、bin，這三個究竟是什么？

ci 其實(shí)就是 case insensitive (大小寫不敏感)的縮寫， cs 是 case sensitive (大小寫敏感)的縮寫。也就是說，當(dāng)我們用的字符格式是`utf8_general_ci`時，Mysql中比對字符串的時候是大小寫不敏感的。

bin指的是比較的時候，按照二進(jìn)制的方式比較，這種情況下就不存在大小寫的問題了。bin方式還可以解決有些小語種上的特性，這個就不展開說了。

我們隨便找了個數(shù)據(jù)表，做個小實(shí)驗：


可見上圖，雖然我查詢的SQL語句是```SELECT * FROM `wp_users` WHERE `user_login`='AdmIN'```，但實(shí)際上查詢出來了用戶名是admin的用戶賬戶。

### 0x04. 完成漏洞利用

回到Metinfo，我們可以利用0x03中說到的Mysql特點(diǎn)，來繞過`if($lang==$met_index_type)...`的判斷。

我們來看看Metinfo是如何獲取系統(tǒng)配置的：

```

/*默認(rèn)語言*/

$met_index_type = $db->get_one("SELECT * FROM $met_config WHERE name='met_index_type' and lang='metinfo'");

$met_index_type = $met_index_type['value'];

$lang=($lang=="")?$met_index_type:$lang;

$langoks = $db->get_one("SELECT * FROM $met_lang WHERE lang='$lang'");

if(!$langoks)die('No data in the database,please reinstall.');

if(!$langoks[useok]&&!$metinfoadminok)okinfo('../404.html');

if(count($met_langok)==1)$lang=$met_index_type;

/*讀配置數(shù)據(jù)*/

$_M[config][tablepre]=$tablepre;

$query = "SELECT * FROM $met_config WHERE lang='$lang' or lang='metinfo'";

$result = $db->query($query);

while($list_config= $db->fetch_array($result)){

$_M[config][$list_config['name']]=$list_config['value'];

if($metinfoadminok)$list_config['value']=str_replace('"', '"', str_replace("'", ''',$list_config['value']));

$settings_arr[]=$list_config;

if($list_config['columnid']){

$settings[$list_config['name'].'_'.$list_config['columnid']]=$list_config['value'];

}else{

$settings[$list_config['name']]=$list_config['value'];

}

if($list_config['flashid']){

$list_config['value']=explode('|',$list_config['value']);

$falshval['type']=$list_config['value'][0];

$falshval['x']=$list_config['value'][1];

$falshval['y']=$list_config['value'][2];

$falshval['imgtype']=$list_config['value'][3];

$list_config['mobile_value']=explode('|',$list_config['mobile_value']);

$falshval['wap_type']=$list_config['mobile_value'][0];

$falshval['wap_y']=$list_config['mobile_value'][1];

$met_flasharray[$list_config['flashid']]=$falshval;

}

}

$_M[lang]=$lang;

@extract($settings);

```

可見，這里執(zhí)行了這條SQL語句`SELECT * FROM $met_config WHERE lang='$lang' or lang='metinfo`'，然后將結(jié)果`extract`到上下文中。

而`$met_config`這個表，格式就是`utf8_general_ci`，大小寫不敏感。

所以，我只需要傳入`index.php?lang=Cn`，在執(zhí)行上述SQL語句的時候，不影響SQL語句的執(zhí)行結(jié)果；而在進(jìn)行`if($lang==$met_index_type)...`比較的時候，`Cn != cn`，成功進(jìn)入else語句。

最后，構(gòu)造下面數(shù)據(jù)包，注入獲取結(jié)果：


### 0x05. 漏洞利用條件

主要條件就是，需要管理員開啟偽靜態(tài)：


沒有什么其他條件了，無需登錄即可觸發(fā)。

總結(jié)

以上是生活随笔為你收集整理的metinfo mysql_Metinfo 5.3.17 前台SQL注入漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。