因str_replace导致的注入问题总结


Posted in PHP onAugust 08, 2019

研究了下replace的注入安全问题。

一般sql注入的过滤方式就是引用addslashes函数进行过滤。

因str_replace导致的注入问题总结

他会把注入的单引号转换成\',把双引号转换成\",反斜杠会转换成\\等

写一段php代码:

<!DOCTYPE html>
<html>
<head>
 <title></title>
 <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
</head>
<body>
<?php
 $x=$_GET['x'];
 $id=str_replace(addslashes($_GET['y']),'',addslashes($x));
 echo "过滤后:".addslashes($x)."<br/>";
 echo "replace替换绕过:".$id."<br/>";
 $conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库 
 mysql_select_db('test',$conn);//选择$conn连接请求下的test数据库名 
 $sql = "select * from user1 where id='$id'";//定义sql语句并组合变量id 
 $result = mysql_query($sql);//执行sql语句并返回给变量result 
 while($row = mysql_fetch_array($result)){//遍历数组数据并显示 
  echo "ID".$row['id']."</br>"; 
  echo "用户名".$row['name']."</br>"; 
 } 
 mysql_close($conn);//关闭数据库连接 
 echo "<hr>"; 
 echo "当前语句:"; 
 echo $sql;
?>
</body>
</html>

发现是引用了addslashes函数的:

因str_replace导致的注入问题总结

一个单引号或者双引号直接被转义,字符串注入到这里基本上gg了。没戏了。

addslashes的问题:

addslashes会把%00转换成\0

addslashes会把单引号(')转换成\'

因为使用了str_replace函数,会替换那么输入%00' 就被addslashes函数自动添加\0\',然后我们匹配0,就变成了\\'再次转换成\',单引号成功逃逸。

<?php
 echo str_replace("0","","\0\'")
?>

\0\'就是我们输入的%00'

会输出:

因str_replace导致的注入问题总结

那么知道了原理根据上面的php代码构造合适的sql语句绕过addslashes过滤

因str_replace导致的注入问题总结

单引号成功逃逸,这里不能用单引号闭合了,后门闭合会被过滤那么直接:

返回真:

因str_replace导致的注入问题总结

返回假

因str_replace导致的注入问题总结

那么想出数据就很方便。这里不演示了常规语句就行了。

模拟环境没啥意思,去网上找了个别人的代码审计文章,找到了一个雨牛挖的cmseasy的str_replace绕过注入的真实案例

2014年的漏洞,cmseasy相关版本网上已经找不到了,我改写了个cmseasy,方便测试这个replace注入:

cmseasy环境下载:链接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取码: 7aj3

存在问题的目录lib/plugins/pay/alipay.php

第87行用了str_replace替换

因str_replace导致的注入问题总结

替换后的内容赋值给了$order_sn

往下看发现调用了check_money函数,跟踪下这个函数查看内部实现:

uploads/lib/table/pay.php

因str_replace导致的注入问题总结

先是赋值然后调用了getrow函数,跟进去看看:

uploads/lib/inc/table.php

因str_replace导致的注入问题总结

condition没有啥数据库操作后跟下面那个函数,跟踪下rec_select_one:

还在table.php文件下:

因str_replace导致的注入问题总结

跟下sql_select函数:

因str_replace导致的注入问题总结

被带入数据库查询:

默认echo $sql;是被注释的,解除注释方便查看sql语句:

因为str_replace的缘故,可以被绕过进行sql注入:

去除注释符,构造poc:

http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

       POST:out_trade_no=11111%00'&subject=0

 sql语句报错存在sql注入

因str_replace导致的注入问题总结

那么修复方案是什么呢?

回到刚开始的alipay.php

第79行

因str_replace导致的注入问题总结

正则匹配下\'

然后再次访问:

直接跳转了不再停留了。

因str_replace导致的注入问题总结

修复方案:

function respond() {
  if (!empty($_POST)) {
   foreach($_POST as $key =>$data) {
    if(preg_match('/(=|<|>|\')/', $data)){
     return false;
    }
    $_GET[$key] = $data;
   }
  }

参考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对三水点靠木的支持。

PHP 相关文章推荐
Linux下ZendOptimizer的安装与配置方法
Apr 12 PHP
一家之言的经验之谈php+mysql扎实个人基本功
Mar 27 PHP
php htmlentities和htmlspecialchars 的区别
Aug 18 PHP
php面向对象的方法重载两种版本比较
Sep 08 PHP
php简单实现屏蔽指定ip段用户的访问
Apr 29 PHP
PHP实现即时输出、实时输出内容方法
May 27 PHP
Json_encode防止汉字转义成unicode的方法
Feb 25 PHP
PHP二进制与字符串之间的相互转换教程
Oct 14 PHP
PHP实现将多个文件中的内容合并为新文件的方法示例
Jun 10 PHP
php微信公众号开发之微信企业付款给个人
Oct 04 PHP
Yii 框架使用数据库(databases)的方法示例
May 19 PHP
PHP实现爬虫爬取图片代码实例
Mar 03 PHP
PHP goto语句用法实例
Aug 06 #PHP
Laravel 6 将新增为指定队列任务设置中间件的功能
Aug 06 #PHP
Yii框架核心组件类实例详解
Aug 06 #PHP
PHP使用Session实现上传进度功能详解
Aug 06 #PHP
PHP使用ajax的post方式下载excel文件简单示例
Aug 06 #PHP
PHP中的自动加载操作实现方法详解
Aug 06 #PHP
Thinkphp自定义生成缩略图尺寸的方法
Aug 05 #PHP
You might like
如何实现给定日期的若干天以后的日期
2006/10/09 PHP
php $_SERVER[&quot;REQUEST_URI&quot;]获取值的通用解决方法
2010/06/21 PHP
php实现word转html的方法
2016/01/22 PHP
php获取当前url地址的方法小结
2017/01/10 PHP
php之可变变量的实例详解
2017/09/12 PHP
聊聊 PHP 8 新特性 Attributes
2020/08/19 PHP
javascript css在IE和Firefox中区别分析
2009/02/18 Javascript
JavaScript几种形式的树结构菜单
2010/05/10 Javascript
js原型链原理看图说明
2012/07/07 Javascript
js字符串截取函数substr substring slice使用对比
2013/11/27 Javascript
可自定义速度的js图片无缝滚动示例分享
2014/01/20 Javascript
jqGrid读取选择的多行的某个属性代码
2014/05/18 Javascript
分享几种比较简单实用的JavaScript tabel切换
2015/12/31 Javascript
jQuery的Cookie封装,与PHP交互的简单实现
2016/10/05 Javascript
bootstrap 表单验证使用方法
2017/01/11 Javascript
正则表达式基本语法及表单验证操作详解【基于JS】
2017/04/07 Javascript
JavaScript实现三级联动效果
2017/07/15 Javascript
详解Nuxt内导航栏的两种实现方式
2020/04/16 Javascript
利用Python的Twisted框架实现webshell密码扫描器的教程
2015/04/16 Python
带你了解python装饰器
2017/06/15 Python
Python二进制串转换为通用字符串的方法
2018/07/23 Python
python mysql断开重连的实现方法
2019/07/26 Python
Python Tkinter模块 GUI 可视化实例
2019/11/20 Python
解决Numpy中sum函数求和结果维度的问题
2019/12/06 Python
Python解释器以及PyCharm的安装教程图文详解
2020/02/26 Python
pycharm软件实现设置自动保存操作
2020/06/08 Python
css3打造一款漂亮的卡哇伊按钮
2013/03/20 HTML / CSS
生产车间实习自我鉴定
2013/09/23 职场文书
科技开发中心办公室主任岗位责任制
2014/02/10 职场文书
奥巴马开学演讲稿
2014/05/15 职场文书
党员证明模板
2015/06/19 职场文书
学者《孟子》名人名言
2019/08/09 职场文书
浅谈css实现背景颜色半透明的两种方法
2021/12/06 HTML / CSS
P站美图推荐——变身女主角特辑
2022/03/20 日漫
《月歌。》宣布制作10周年纪念剧场版《RABBITS KINGDOM THE MOVIE》
2022/04/02 日漫
mysql查找连续出现n次以上的数字
2022/05/11 MySQL