研究了下replace的注入安全問題����。
一般sql注入的過濾方式就是引用addslashes函數(shù)進(jìn)行過濾�����。
他會把注入的單引號轉(zhuǎn)換成\',把雙引號轉(zhuǎn)換成\",反斜杠會轉(zhuǎn)換成\\等
寫一段php代碼:
<!DOCTYPE html>
<html>
<head>
<title></title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
</head>
<body>
<?php
$x=$_GET['x'];
$id=str_replace(addslashes($_GET['y']),'',addslashes($x));
echo "過濾后:".addslashes($x)."<br/>";
echo "replace替換繞過:".$id."<br/>";
$conn = mysql_connect('127.0.0.1','root','root');//連接mysql數(shù)據(jù)庫
mysql_select_db('test',$conn);//選擇$conn連接請求下的test數(shù)據(jù)庫名
$sql = "select * from user1 where id='$id'";//定義sql語句并組合變量id
$result = mysql_query($sql);//執(zhí)行sql語句并返回給變量result
while($row = mysql_fetch_array($result)){//遍歷數(shù)組數(shù)據(jù)并顯示
echo "ID".$row['id']."</br>";
echo "用戶名".$row['name']."</br>";
}
mysql_close($conn);//關(guān)閉數(shù)據(jù)庫連接
echo "<hr>";
echo "當(dāng)前語句:";
echo $sql;
?>
</body>
</html>發(fā)現(xiàn)是引用了addslashes函數(shù)的:
一個(gè)單引號或者雙引號直接被轉(zhuǎn)義�����,字符串注入到這里基本上gg了。沒戲了���。
addslashes的問題:
addslashes會把%00轉(zhuǎn)換成\0
addslashes會把單引號(')轉(zhuǎn)換成\'
因?yàn)槭褂昧藄tr_replace函數(shù)����,會替換那么輸入%00' 就被addslashes函數(shù)自動添加\0\'�,然后我們匹配0,就變成了\\'再次轉(zhuǎn)換成\',單引號成功逃逸?! ?/p>
<?php
echo str_replace("0","","\0\'")
?>\0\'就是我們輸入的%00'
會輸出:
那么知道了原理根據(jù)上面的php代碼構(gòu)造合適的sql語句繞過addslashes過濾
單引號成功逃逸,這里不能用單引號閉合了���,后門閉合會被過濾那么直接:
返回真:
返回假
那么想出數(shù)據(jù)就很方便���。這里不演示了常規(guī)語句就行了。
模擬環(huán)境沒啥意思��,去網(wǎng)上找了個(gè)別人的代碼審計(jì)文章,找到了一個(gè)雨牛挖的cmseasy的str_replace繞過注入的真實(shí)案例
2014年的漏洞�,cmseasy相關(guān)版本網(wǎng)上已經(jīng)找不到了,我改寫了個(gè)cmseasy,方便測試這個(gè)replace注入:
cmseasy環(huán)境下載:鏈接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取碼: 7aj3
存在問題的目錄lib/plugins/pay/alipay.php
第87行用了str_replace替換
替換后的內(nèi)容賦值給了$order_sn
往下看發(fā)現(xiàn)調(diào)用了check_money函數(shù),跟蹤下這個(gè)函數(shù)查看內(nèi)部實(shí)現(xiàn):
uploads/lib/table/pay.php
先是賦值然后調(diào)用了getrow函數(shù)�,跟進(jìn)去看看:
uploads/lib/inc/table.php
condition沒有啥數(shù)據(jù)庫操作后跟下面那個(gè)函數(shù),跟蹤下rec_select_one:
還在table.php文件下:
跟下sql_select函數(shù):
被帶入數(shù)據(jù)庫查詢:
默認(rèn)echo $sql;是被注釋的��,解除注釋方便查看sql語句:
因?yàn)閟tr_replace的緣故,可以被繞過進(jìn)行sql注入:
去除注釋符,構(gòu)造poc:
http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS
POST:out_trade_no=11111%00'&subject=0
sql語句報(bào)錯(cuò)存在sql注入
那么修復(fù)方案是什么呢?
回到剛開始的alipay.php
第79行
正則匹配下\'
然后再次訪問:
直接跳轉(zhuǎn)了不再停留了。
修復(fù)方案:
function respond() {
if (!empty($_POST)) {
foreach($_POST as $key =>$data) {
if(preg_match('/(=|<|>|\')/', $data)){
return false;
}
$_GET[$key] = $data;
}
}參考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html
總結(jié)
聲明:本網(wǎng)頁內(nèi)容旨在傳播知識��,若有侵權(quán)等問題請及時(shí)與本網(wǎng)聯(lián)系�,我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
