PHP代码审计——Day4-False Beard

漏洞解析

class Login {
  public function __construct($user, $pass) {
    $this->loginViaXml($user, $pass);
  }

  public function loginViaXml($user, $pass) {
    if ( // 防止输入的参数含有<和>符号
      (!strpos($user, '<') || !strpos($user, '>')) &&
      (!strpos($pass, '<') || !strpos($pass, '>'))
    ) {// 重点看这部分，代码用xml结构存储用户的登录信息，此处容易导致数据注入
      $format = '<?xml version="1.0"?>' .
        '<user v="%s"/><pass v="%s"/>';
      $xml = sprintf($format, $user, $pass);
      $xmlElement = new SimpleXMLElement($xml);
      // Perform the actual login.
      $this->login($xmlElement);
    }
  }
}

new Login($_POST['username'], $_POST['password']);

开发人员对输入做了一定的过滤限制，用strpos防止输入的参数含有<和>符号

strpos：查找字符串首次出现的位置
定义：int strpos ( string $haystack , mixed $needle [, int $offset = 0 ] )

但是注意一个细节，返回位置为0和没找到返回的false，取反均为true。于是可以在用户名和密码首字符注入<符号从而注入xml数据

<?php
$user = '<"><injected-tag property="';
$pass = '<injected-tag>';

var_dump(strpos($user, '<'));
var_dump(!strpos($user, '<'));
var_dump(strpos($user, '>'));
var_dump(!strpos($user, '>'));
var_dump( // 防止输入的参数含有<和>符号
      (!strpos($user, '<') || !strpos($user, '>')) &&
      (!strpos($pass, '<') || !strpos($pass, '>'))
 );
// 重点看这部分，代码用xml结构存储用户的登录信息，此处容易导致数据注入
$format = '<?xml version="1.0"?>' .
    '<user v="%s"/><pass v="%s"/>';
$xml = sprintf($format, $user, $pass);
var_dump($xml);
?>