因str_replace导致的注入问题总结


Posted in PHP onAugust 08, 2019

研究了下replace的注入安全问题。

一般sql注入的过滤方式就是引用addslashes函数进行过滤。

因str_replace导致的注入问题总结

他会把注入的单引号转换成\',把双引号转换成\",反斜杠会转换成\\等

写一段php代码:

<!DOCTYPE html>
<html>
<head>
 <title></title>
 <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
</head>
<body>
<?php
 $x=$_GET['x'];
 $id=str_replace(addslashes($_GET['y']),'',addslashes($x));
 echo "过滤后:".addslashes($x)."<br/>";
 echo "replace替换绕过:".$id."<br/>";
 $conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库 
 mysql_select_db('test',$conn);//选择$conn连接请求下的test数据库名 
 $sql = "select * from user1 where id='$id'";//定义sql语句并组合变量id 
 $result = mysql_query($sql);//执行sql语句并返回给变量result 
 while($row = mysql_fetch_array($result)){//遍历数组数据并显示 
  echo "ID".$row['id']."</br>"; 
  echo "用户名".$row['name']."</br>"; 
 } 
 mysql_close($conn);//关闭数据库连接 
 echo "<hr>"; 
 echo "当前语句:"; 
 echo $sql;
?>
</body>
</html>

发现是引用了addslashes函数的:

因str_replace导致的注入问题总结

一个单引号或者双引号直接被转义,字符串注入到这里基本上gg了。没戏了。

addslashes的问题:

addslashes会把%00转换成\0

addslashes会把单引号(')转换成\'

因为使用了str_replace函数,会替换那么输入%00' 就被addslashes函数自动添加\0\',然后我们匹配0,就变成了\\'再次转换成\',单引号成功逃逸。

<?php
 echo str_replace("0","","\0\'")
?>

\0\'就是我们输入的%00'

会输出:

因str_replace导致的注入问题总结

那么知道了原理根据上面的php代码构造合适的sql语句绕过addslashes过滤

因str_replace导致的注入问题总结

单引号成功逃逸,这里不能用单引号闭合了,后门闭合会被过滤那么直接:

返回真:

因str_replace导致的注入问题总结

返回假

因str_replace导致的注入问题总结

那么想出数据就很方便。这里不演示了常规语句就行了。

模拟环境没啥意思,去网上找了个别人的代码审计文章,找到了一个雨牛挖的cmseasy的str_replace绕过注入的真实案例

2014年的漏洞,cmseasy相关版本网上已经找不到了,我改写了个cmseasy,方便测试这个replace注入:

cmseasy环境下载:链接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取码: 7aj3

存在问题的目录lib/plugins/pay/alipay.php

第87行用了str_replace替换

因str_replace导致的注入问题总结

替换后的内容赋值给了$order_sn

往下看发现调用了check_money函数,跟踪下这个函数查看内部实现:

uploads/lib/table/pay.php

因str_replace导致的注入问题总结

先是赋值然后调用了getrow函数,跟进去看看:

uploads/lib/inc/table.php

因str_replace导致的注入问题总结

condition没有啥数据库操作后跟下面那个函数,跟踪下rec_select_one:

还在table.php文件下:

因str_replace导致的注入问题总结

跟下sql_select函数:

因str_replace导致的注入问题总结

被带入数据库查询:

默认echo $sql;是被注释的,解除注释方便查看sql语句:

因为str_replace的缘故,可以被绕过进行sql注入:

去除注释符,构造poc:

http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

       POST:out_trade_no=11111%00'&subject=0

 sql语句报错存在sql注入

因str_replace导致的注入问题总结

那么修复方案是什么呢?

回到刚开始的alipay.php

第79行

因str_replace导致的注入问题总结

正则匹配下\'

然后再次访问:

直接跳转了不再停留了。

因str_replace导致的注入问题总结

修复方案:

function respond() {
  if (!empty($_POST)) {
   foreach($_POST as $key =>$data) {
    if(preg_match('/(=|<|>|\')/', $data)){
     return false;
    }
    $_GET[$key] = $data;
   }
  }

参考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对三水点靠木的支持。

PHP 相关文章推荐
用PHP制作静态网站的模板框架
Oct 09 PHP
十天学会php之第四天
Oct 09 PHP
php的urlencode()URL编码函数浅析
Aug 09 PHP
修改PHP的memory_limit限制的方法分享
Feb 21 PHP
PHP遍历数组的几种方法
Mar 22 PHP
php 表单提交大量数据发生丢失的解决方法
Mar 03 PHP
修改ThinkPHP缓存为Memcache的方法
Jun 25 PHP
CodeIgniter 完美解决URL含有中文字符串
May 13 PHP
深入理解PHP 数组之count 函数
Jun 13 PHP
PHP+JQuery+Ajax实现分页方法详解
Aug 06 PHP
PHP十六进制颜色随机生成器功能示例
Jul 24 PHP
Laravel项目中timeAgo字段语言转换的改善方法示例
Sep 16 PHP
PHP goto语句用法实例
Aug 06 #PHP
Laravel 6 将新增为指定队列任务设置中间件的功能
Aug 06 #PHP
Yii框架核心组件类实例详解
Aug 06 #PHP
PHP使用Session实现上传进度功能详解
Aug 06 #PHP
PHP使用ajax的post方式下载excel文件简单示例
Aug 06 #PHP
PHP中的自动加载操作实现方法详解
Aug 06 #PHP
Thinkphp自定义生成缩略图尺寸的方法
Aug 05 #PHP
You might like
全国FM电台频率大全 - 26 西藏自治区
2020/03/11 无线电
让php处理图片变得简单 基于gb库的图片处理类附实例代码下载
2011/05/17 PHP
php生成高清缩略图实例详解
2015/12/07 PHP
Laravel中Trait的用法实例详解
2016/03/16 PHP
PHP PDOStatement::debugDumpParams讲解
2019/01/30 PHP
PHP模糊查询技术实例分析【附源码下载】
2019/03/07 PHP
javascript attachEvent和addEventListener使用方法
2009/03/19 Javascript
JavaScript 字符串处理函数使用小结
2010/12/02 Javascript
javascript实用方法总结
2015/02/06 Javascript
JS实现窗口加载时模拟鼠标移动的方法
2015/06/03 Javascript
js实现淡入淡出轮播切换功能
2017/01/13 Javascript
jquery实现异步加载图片(懒加载图片一种方式)
2017/04/24 jQuery
JS实现监控微信小程序的原理
2018/06/15 Javascript
详解如何在webpack中做预渲染降低首屏空白时间
2018/08/22 Javascript
vue调用微信JSDK 扫一扫,相册等需要注意的事项
2021/01/03 Vue.js
[02:19]2018年度DOTA2最佳核心位选手-完美盛典
2018/12/17 DOTA
Python面向对象之继承代码详解
2018/01/29 Python
django中静态文件配置static的方法
2018/05/20 Python
python 使用socket传输图片视频等文件的实现方式
2019/08/07 Python
python查看数据类型的方法
2019/10/12 Python
TensorFlow tf.nn.conv2d实现卷积的方式
2020/01/03 Python
django日志默认打印request请求信息的方法示例
2020/05/17 Python
Django中ORM的基本使用教程
2020/12/22 Python
深入浅析CSS3中的Flex布局整理
2020/04/27 HTML / CSS
HTML5中FileReader接口使用方法实例详解
2017/08/26 HTML / CSS
Html5大文件断点续传实现方法
2015/12/05 HTML / CSS
科颜氏加拿大官方网站: Kiehl’s加拿大
2016/08/16 全球购物
Crocs卡骆驰洞洞鞋日本官方网站:Crocs日本
2016/08/25 全球购物
法定代表人授权委托书
2014/04/04 职场文书
中介业务员岗位职责
2014/04/09 职场文书
销售竞赛活动方案
2014/08/23 职场文书
党员干部批评与自我批评反四风思想汇报
2014/09/21 职场文书
涨价通知怎么写
2015/04/23 职场文书
matplotlib之pyplot模块实现添加子图subplot的使用
2021/04/25 Python
html+css实现赛博朋克风格按钮
2021/05/26 HTML / CSS
MySQL 数据 data 基本操作
2022/05/04 MySQL