這篇文章主要給大家介紹了關於因str_replace導致的注入問題的相關資料,文中通過示例代碼介紹的非常詳細,對大家學習或者使用Python具有一定的參考學習價值,需要的朋友們下面來一起學習學習吧
研究了下replace的注入安全問題。
一般sql注入的過濾方式就是引用addslashes函數進行過濾。
他會把注入的單引號轉換成\',把雙引號轉換成\",反斜槓會轉換成\\等
寫一段php代碼:
<!DOCTYPE html> <html> <head> <title></title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> </head> <body> <?php $x=$_GET['x']; $id=str_replace(addslashes($_GET['y']),'',addslashes($x)); echo "過濾後:".addslashes($x)."<br/>"; echo "replace替換繞過:".$id."<br/>"; $conn = mysql_connect('127.0.0.1','root','root');//連接mysql數據庫 mysql_select_db('test',$conn);//選擇$conn連接請求下的test數據庫名 $sql = "select * from user1 where id='$id'";//定義sql語句並組合變量id $result = mysql_query($sql);//執行sql語句並返回給變量result while($row = mysql_fetch_array($result)){//遍歷數組數據並顯示 echo "ID".$row['id']."</br>"; echo "用戶名".$row['name']."</br>"; } mysql_close($conn);//關閉數據庫連接 echo "<hr>"; echo "當前語句:"; echo $sql; ?> </body> </html>
發現是引用了addslashes函數的:
一個單引號或者雙引號直接被轉義,字符串注入到這裏基本上gg了。沒戲了。
addslashes的問題:
addslashes會把%00轉換成\0
addslashes會把單引號(')轉換成\'
因爲使用了str_replace函數,會替換那麼輸入%00' 就被addslashes函數自動添加\0\',然後我們匹配0,就變成了\\'再次轉換成\',單引號成功逃逸。
<?php echo str_replace("0","","\0\'") ?>
\0\'就是我們輸入的%00'
會輸出:
那麼知道了原理根據上面的php代碼構造合適的sql語句繞過addslashes過濾
單引號成功逃逸,這裏不能用單引號閉合了,後門閉合會被過濾那麼直接:
返回真:
返回假
那麼想出數據就很方便。這裏不演示了常規語句就行了。
模擬環境沒啥意思,去網上找了個別人的代碼審計文章,找到了一個雨牛挖的cmseasy的str_replace繞過注入的真實案例
2014年的漏洞,cmseasy相關版本網上已經找不到了,我改寫了個cmseasy,方便測試這個replace注入:
cmseasy環境下載:鏈接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取碼: 7aj3
存在問題的目錄lib/plugins/pay/alipay.php
第87行用了str_replace替換
替換後的內容賦值給了$order_sn
往下看發現調用了check_money函數,跟蹤下這個函數查看內部實現:
uploads/lib/table/pay.php
先是賦值然後調用了getrow函數,跟進去看看:
uploads/lib/inc/table.php
condition沒有啥數據庫操作後跟下面那個函數,跟蹤下rec_select_one:
還在table.php文件下:
跟下sql_select函數:
被帶入數據庫查詢:
默認echo $sql;是被註釋的,解除註釋方便查看sql語句:
因爲str_replace的緣故,可以被繞過進行sql注入:
去除註釋符,構造poc:
http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS
POST:out_trade_no=11111%00'&subject=0
sql語句報錯存在sql注入
那麼修復方案是什麼呢?
回到剛開始的alipay.php
第79行
正則匹配下\'
然後再次訪問:
直接跳轉了不再停留了。
修復方案:
function respond() { if (!empty($_POST)) { foreach($_POST as $key =>$data) { if(preg_match('/(=|<|>|\')/', $data)){ return false; } $_GET[$key] = $data; } }
參考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,謝謝大家對神馬文庫的支持。