亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

因str_replace導(dǎo)致的注入問題總結(jié)

 更新時(shí)間:2019年08月08日 10:32:58   作者:飄渺__紅塵  
這篇文章主要給大家介紹了關(guān)于因str_replace導(dǎo)致的注入問題的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家學(xué)習(xí)或者使用Python具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧

研究了下replace的注入安全問題。

一般sql注入的過濾方式就是引用addslashes函數(shù)進(jìn)行過濾。

他會(huì)把注入的單引號(hào)轉(zhuǎn)換成\',把雙引號(hào)轉(zhuǎn)換成\",反斜杠會(huì)轉(zhuǎn)換成\\等

寫一段php代碼:

<!DOCTYPE html>
<html>
<head>
 <title></title>
 <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
</head>
<body>
<?php
 $x=$_GET['x'];
 $id=str_replace(addslashes($_GET['y']),'',addslashes($x));
 echo "過濾后:".addslashes($x)."<br/>";
 echo "replace替換繞過:".$id."<br/>";
 $conn = mysql_connect('127.0.0.1','root','root');//連接mysql數(shù)據(jù)庫(kù) 
 mysql_select_db('test',$conn);//選擇$conn連接請(qǐng)求下的test數(shù)據(jù)庫(kù)名 
 $sql = "select * from user1 where id='$id'";//定義sql語句并組合變量id 
 $result = mysql_query($sql);//執(zhí)行sql語句并返回給變量result 
 while($row = mysql_fetch_array($result)){//遍歷數(shù)組數(shù)據(jù)并顯示 
  echo "ID".$row['id']."</br>"; 
  echo "用戶名".$row['name']."</br>"; 
 } 
 mysql_close($conn);//關(guān)閉數(shù)據(jù)庫(kù)連接 
 echo "<hr>"; 
 echo "當(dāng)前語句:"; 
 echo $sql;
?>
</body>
</html>

發(fā)現(xiàn)是引用了addslashes函數(shù)的:

一個(gè)單引號(hào)或者雙引號(hào)直接被轉(zhuǎn)義,字符串注入到這里基本上gg了。沒戲了。

  addslashes的問題:

    addslashes會(huì)把%00轉(zhuǎn)換成\0

    addslashes會(huì)把單引號(hào)(')轉(zhuǎn)換成\'

    因?yàn)槭褂昧藄tr_replace函數(shù),會(huì)替換那么輸入%00' 就被addslashes函數(shù)自動(dòng)添加\0\',然后我們匹配0,就變成了\\'再次轉(zhuǎn)換成\',單引號(hào)成功逃逸。  

<?php
 echo str_replace("0","","\0\'")
?>

\0\'就是我們輸入的%00'

  會(huì)輸出:

那么知道了原理根據(jù)上面的php代碼構(gòu)造合適的sql語句繞過addslashes過濾

單引號(hào)成功逃逸,這里不能用單引號(hào)閉合了,后門閉合會(huì)被過濾那么直接:

  返回真:

返回假

那么想出數(shù)據(jù)就很方便。這里不演示了常規(guī)語句就行了。

模擬環(huán)境沒啥意思,去網(wǎng)上找了個(gè)別人的代碼審計(jì)文章,找到了一個(gè)雨牛挖的cmseasy的str_replace繞過注入的真實(shí)案例

  2014年的漏洞,cmseasy相關(guān)版本網(wǎng)上已經(jīng)找不到了,我改寫了個(gè)cmseasy,方便測(cè)試這個(gè)replace注入:

  cmseasy環(huán)境下載:鏈接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取碼: 7aj3

  存在問題的目錄lib/plugins/pay/alipay.php

  第87行用了str_replace替換

替換后的內(nèi)容賦值給了$order_sn

  往下看發(fā)現(xiàn)調(diào)用了check_money函數(shù),跟蹤下這個(gè)函數(shù)查看內(nèi)部實(shí)現(xiàn):

  uploads/lib/table/pay.php

  先是賦值然后調(diào)用了getrow函數(shù),跟進(jìn)去看看:

  uploads/lib/inc/table.php

  condition沒有啥數(shù)據(jù)庫(kù)操作后跟下面那個(gè)函數(shù),跟蹤下rec_select_one:

  還在table.php文件下:

  跟下sql_select函數(shù):

被帶入數(shù)據(jù)庫(kù)查詢:

  默認(rèn)echo $sql;是被注釋的,解除注釋方便查看sql語句:

  因?yàn)閟tr_replace的緣故,可以被繞過進(jìn)行sql注入:

  去除注釋符,構(gòu)造poc:

  http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

       POST:out_trade_no=11111%00'&subject=0

 sql語句報(bào)錯(cuò)存在sql注入


那么修復(fù)方案是什么呢?

  回到剛開始的alipay.php

第79行

  正則匹配下\'

    然后再次訪問:

直接跳轉(zhuǎn)了不再停留了。

修復(fù)方案:

function respond() {
  if (!empty($_POST)) {
   foreach($_POST as $key =>$data) {
    if(preg_match('/(=|<|>|\')/', $data)){
     return false;
    }
    $_GET[$key] = $data;
   }
  }

參考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,謝謝大家對(duì)腳本之家的支持。

相關(guān)文章

最新評(píng)論