str_replace導致的注入問題彙總

飄渺__紅塵發表於2019-08-05

　　　　研究了下replace的注入安全問題。

　　　　一般sql注入的過濾方式就是引用addslashes函式進行過濾。

他會把注入的單引號轉換成\',把雙引號轉換成\",反斜槓會轉換成\\等

　　寫一段php程式碼:

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
</head>
<body>
<?php
    $x=$_GET['x'];
    $id=str_replace(addslashes($_GET['y']),'',addslashes($x));
    echo "過濾後:".addslashes($x)."<br/>";
    echo "replace替換繞過:".$id."<br/>";
    $conn = mysql_connect('127.0.0.1','root','root');//連線mysql資料庫 
    mysql_select_db('test',$conn);//選擇$conn連線請求下的test資料庫名 
    $sql = "select * from user1 where id='$id'";//定義sql語句並組合變數id 
    $result = mysql_query($sql);//執行sql語句並返回給變數result 
    while($row = mysql_fetch_array($result)){//遍歷陣列資料並顯示 
        echo "ID".$row['id']."</br>"; 
        echo "使用者名稱".$row['name']."</br>"; 
    } 
    mysql_close($conn);//關閉資料庫連線 
    echo "<hr>"; 
    echo "當前語句："; 
    echo $sql;
?>
</body>
</html>

　　發現是引用了addslashes函式的:

一個單引號或者雙引號直接被轉義，字串注入到這裡基本上gg了。沒戲了。

　　addslashes的問題:

　　　　addslashes會把%00轉換成\0

　　　　addslashes會把單引號(')轉換成\'

　　　　因為使用了str_replace函式，會替換那麼輸入%00' 就被addslashes函式自動新增\0\'，然後我們匹配0,就變成了\\'再次轉換成\',單引號成功逃逸。　　

<?php
    echo str_replace("0","","\0\'")
?>

\0\'就是我們輸入的%00'

　　會輸出:

那麼知道了原理根據上面的php程式碼構造合適的sql語句繞過addslashes過濾

單引號成功逃逸，這裡不能用單引號閉合了，後門閉合會被過濾那麼直接：

　　返回真:

返回假

那麼想出資料就很方便。這裡不演示了常規語句就行了。

模擬環境沒啥意思，去網上找了個別人的程式碼審計文章,找到了一個雨牛挖的cmseasy的str_replace繞過注入的真實案例

　　2014年的漏洞，cmseasy相關版本網上已經找不到了,我改寫了個cmseasy,方便測試這個replace注入:

　　cmseasy環境下載:連結:https://pan.baidu.com/s/1w-knpeOp8D4AuWe3N5U1vA 密碼:jk1a

　　存在問題的目錄lib/plugins/pay/alipay.php

　　第87行用了str_replace替換

替換後的內容賦值給了$order_sn

　　往下看發現呼叫了check_money函式,跟蹤下這個函式檢視內部實現:

　　uploads/lib/table/pay.php

　　先是賦值然後呼叫了getrow函式，跟進去看看:

　　uploads/lib/inc/table.php

　　condition沒有啥資料庫操作後跟下面那個函式，跟蹤下rec_select_one:

　　還在table.php檔案下:

　　跟下sql_select函式:

被帶入資料庫查詢:

　　預設echo $sql;是被註釋的，解除註釋方便檢視sql語句：

　　因為str_replace的緣故,可以被繞過進行sql注入:

　　去除註釋符,構造poc:

　　http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

  POST:out_trade_no=11111%00'&subject=0
　sql語句報錯存在sql注入

那麼修復方案是什麼呢?
　　回到剛開始的alipay.php
 第79行

　　正則匹配下\'
　　　　然後再次訪問：
直接跳轉了不再停留了。

修復方案:

function respond() {
        if (!empty($_POST)) {
            foreach($_POST as $key =>$data) {
                if(preg_match('/(=|<|>|\')/', $data)){
                    return false;
                }
                $_GET[$key] = $data;
            }
        }
參考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html

安全問題彙總
2020-09-09
RecyclerView問題彙總
2019-05-05
View
CSS問題彙總
2019-04-25
CSS
Redis問題彙總
2018-07-25
Redis
ANALYZE導致的阻塞問題分析
2020-08-17
Logback使用問題彙總
2024-09-23
OPNET使用問題彙總
2020-10-06
VMWare Station 問題彙總
2018-12-06
openni niviewer問題彙總
2018-05-05
View
pandas包問題彙總
2018-09-03
WKWebView的一些問題彙總
2019-12-12
WebView
python中的路徑問題彙總
2018-09-03
Python
介面超時問題彙總
2024-12-09
騰訊雲問題彙總
2024-03-13
一些小問題彙總
2024-06-09
SpringBoot 使用 Elasticsearch 問題彙總
2022-09-27
Spring BootElasticsearch
Java 常見問題彙總
2020-08-27
Java
Android中handler問題彙總
2020-04-04
Android
華為雲問題彙總
2018-12-03
【leetcode】揹包問題彙總
2019-03-08
LeetCode
Redis常見問題彙總
2019-02-11
Redis
Bootstrap常見問題彙總
2018-05-21
boot
ArchLinux各種問題彙總
2018-08-05
Linux
分散式鎖導致的超賣問題
2024-08-20
分散式
MySQL8.0 view導致的效能問題
2022-05-26
MySqlView
CAS導致的ABA問題及解決
2019-04-24
golang slice使用不慎導致的問題
2018-05-24
Golang
shell 中的 set -e 導致的退出問題
2020-09-25
文字串接問題彙總
2024-11-22
字串
rabbitmq安裝使用問題彙總
2024-03-26
MQ
代理IP常見問題彙總
2021-09-11
驗證碼安全問題彙總
2020-08-19
python操作word、pdf問題彙總
2020-11-05
Python
Homestead環境遇到問題彙總
2020-12-09
RDSforSQLserver空間問題排查彙總
2018-10-26
SQLServer
Redis Manager 常見問題彙總
2018-12-15
Redis
【Linux】CentOS操作和問題彙總
2018-09-13
LinuxCentOS
[20191204]sqlplus特殊定義導致的問題.txt
2019-12-04
SQL

str_replace導致的注入問題彙總

相關文章