php中因str_replace导致的注入问题的示例分析-创新互联

小编给大家分享一下php中因str_replace导致的注入问题的示例分析,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!

创新互联建站是一家专业提供兰溪企业网站建设,专注与成都网站制作、做网站、html5、小程序制作等业务。10年已为兰溪众多企业、政府机构等服务。创新互联专业网站制作公司优惠进行中。

一般sql注入的过滤方式就是引用addslashes函数进行过滤。

php中因str_replace导致的注入问题的示例分析

他会把注入的单引号转换成\',把双引号转换成\",反斜杠会转换成\\等

写一段php代码:




 
 


";
 echo "replace替换绕过:".$id."
";  $conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库   mysql_select_db('test',$conn);//选择$conn连接请求下的test数据库名   $sql = "select * from user1 where id='$id'";//定义sql语句并组合变量id   $result = mysql_query($sql);//执行sql语句并返回给变量result   while($row = mysql_fetch_array($result)){//遍历数组数据并显示    echo "ID".$row['id']."
";    echo "用户名".$row['name']."
";   }   mysql_close($conn);//关闭数据库连接   echo "
";   echo "当前语句:";   echo $sql; ?>

发现是引用了addslashes函数的:

php中因str_replace导致的注入问题的示例分析

一个单引号或者双引号直接被转义,字符串注入到这里基本上gg了。没戏了。

addslashes的问题:

  addslashes会把%00转换成\0

  addslashes会把单引号(')转换成\'

  因为使用了str_replace函数,会替换那么输入%00' 就被addslashes函数自动添加\0\',然后我们匹配0,就变成了\\'再次转换成\',单引号成功逃逸。  

\0\'就是我们输入的%00'

会输出:

php中因str_replace导致的注入问题的示例分析

那么知道了原理根据上面的php代码构造合适的sql语句绕过addslashes过滤

php中因str_replace导致的注入问题的示例分析

单引号成功逃逸,这里不能用单引号闭合了,后门闭合会被过滤那么直接:

返回真:

php中因str_replace导致的注入问题的示例分析

返回假

php中因str_replace导致的注入问题的示例分析

那么想出数据就很方便。这里不演示了常规语句就行了。

模拟环境没啥意思,去网上找了个别人的代码审计文章,找到了一个雨牛挖的cmseasy的str_replace绕过注入的真实案例

2014年的漏洞,cmseasy相关版本网上已经找不到了,我改写了个cmseasy,方便测试这个replace注入:

cmseasy环境下载:链接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取码: 7aj3

存在问题的目录lib/plugins/pay/alipay.php

第87行用了str_replace替换

php中因str_replace导致的注入问题的示例分析

替换后的内容赋值给了$order_sn

往下看发现调用了check_money函数,跟踪下这个函数查看内部实现:

uploads/lib/table/pay.php

php中因str_replace导致的注入问题的示例分析

先是赋值然后调用了getrow函数,跟进去看看:

uploads/lib/inc/table.php

php中因str_replace导致的注入问题的示例分析

condition没有啥数据库操作后跟下面那个函数,跟踪下rec_select_one:

还在table.php文件下:

php中因str_replace导致的注入问题的示例分析

跟下sql_select函数:

php中因str_replace导致的注入问题的示例分析

被带入数据库查询:

默认echo $sql;是被注释的,解除注释方便查看sql语句:

因为str_replace的缘故,可以被绕过进行sql注入:

去除注释符,构造poc:

http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

       POST:out_trade_no=11111%00'&subject=0


sql语句报错存在sql注入

php中因str_replace导致的注入问题的示例分析

那么修复方案是什么呢?


回到刚开始的alipay.php


第79行


php中因str_replace导致的注入问题的示例分析

正则匹配下\'


  然后再次访问:


直接跳转了不再停留了。


php中因str_replace导致的注入问题的示例分析

修复方案:


function respond() {
  if (!empty($_POST)) {
   foreach($_POST as $key =>$data) {
    if(preg_match('/(=|<|>|\')/', $data)){
     return false;
    }
    $_GET[$key] = $data;
   }
  }

以上是“php中因str_replace导致的注入问题的示例分析”这篇文章的所有内容,感谢各位的阅读!相信大家都有了一定的了解,希望分享的内容对大家有所帮助,如果还想学习更多知识,欢迎关注创新互联行业资讯频道!


文章名称:php中因str_replace导致的注入问题的示例分析-创新互联
标题来源:http://myzitong.com/article/doipec.html