本文作者:心月

因str_replace导致的注入问题总结

心月IT博客 2019-11-10
因str_replace导致的注入问题总结摘要:研究了下replace的注入安全问题。 一般sql注入的过滤方式就是引用addslashes函数进行过滤。

研究了下replace的注入安全问题。

一般sql注入的过滤方式就是引用addslashes函数进行过滤。

addslashes函数定义和用法

addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

预定义字符是:

  • 单引号(')

  • 双引号(")

  • 反斜杠(\)

  • NULL

提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。

注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

他会把注入的单引号转换成\',把双引号转换成\",反斜杠会转换成\\等:

例如:

<!DOCTYPE html>
<html>
<head>
    <title></title>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
</head>
<body>
<?php    $x=$_GET['x'];    $id=str_replace(addslashes($_GET['y']),'',addslashes($x));    echo "过滤后:".addslashes($x)."<br/>";    echo "replace替换绕过:".$id."<br/>";    $conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库 
    mysql_select_db('test',$conn);//选择$conn连接请求下的test数据库名 
    $sql = "select * from user1 where id='$id'";//定义sql语句并组合变量id 
    $result = mysql_query($sql);//执行sql语句并返回给变量result 
    while($row = mysql_fetch_array($result)){//遍历数组数据并显示 
        echo "ID".$row['id']."</br>"; 
        echo "用户名".$row['name']."</br>"; 
    } 
    mysql_close($conn);//关闭数据库连接 
    echo "<hr>"; 
    echo "当前语句:"; 
    echo $sql;?>
</body>
</html>

发现是引用了addslashes函数的:

因str_replace导致的注入问题总结


一个单引号或者双引号直接被转义,字符串注入到这里基本上gg了。没戏了。

  addslashes的问题:

    addslashes会把%00转换成\0

    addslashes会把单引号(')转换成\'

    因为使用了str_replace函数,会替换那么输入%00' 就被addslashes函数自动添加\0\',然后我们匹配0,就变成了\\'再次转换成\',单引号成功逃逸。

<?php    
    echo str_replace("0","","\0\'")

\0\'就是我们输入的%00',它的输出结果为:

因str_replace导致的注入问题总结

那么知道了原理根据上面的php代码构造合适的sql语句绕过addslashes过滤

因str_replace导致的注入问题总结

 

单引号成功逃逸,这里不能用单引号闭合了,后门闭合会被过滤那么直接:

  返回真:

    

因str_replace导致的注入问题总结

 

返回假

因str_replace导致的注入问题总结

那么想出数据就很方便。这里不演示了常规语句就行了。

模拟环境没啥意思,去网上找了个别人的代码审计文章,找到了一个雨牛挖的cmseasy的str_replace绕过注入的真实案例

  2014年的漏洞,cmseasy相关版本网上已经找不到了,我改写了个cmseasy,方便测试这个replace注入:

  cmseasy环境下载:链接:https://pan.baidu.com/s/1w-knpeOp8D4AuWe3N5U1vA  密码:jk1a

  存在问题的目录lib/plugins/pay/alipay.php

  第87行用了str_replace替换

因str_replace导致的注入问题总结

 

替换后的内容赋值给了$order_sn

  往下看发现调用了check_money函数,跟踪下这个函数查看内部实现:

  uploads/lib/table/pay.php

  

因str_replace导致的注入问题总结

 

  先是赋值然后调用了getrow函数,跟进去看看:

  uploads/lib/inc/table.php

  

因str_replace导致的注入问题总结

 

  condition没有啥数据库操作后跟下面那个函数,跟踪下rec_select_one:

  还在table.php文件下:

  

因str_replace导致的注入问题总结

  跟下sql_select函数:

  因str_replace导致的注入问题总结

 

被带入数据库查询:

  默认echo $sql;是被注释的,解除注释方便查看sql语句:

  因为str_replace的缘故,可以被绕过进行sql注入:

  去除注释符,构造poc:

  http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

POST:out_trade_no=11111%00'&subject=0 sql语句报错存在sql注入

因str_replace导致的注入问题总结

那么修复方案是什么呢?
  回到刚开始的alipay.php
 第79行

因str_replace导致的注入问题总结

正则匹配下\'
    然后再次访问:
直接跳转了不再停留了。

因str_replace导致的注入问题总结

 修复方案:

function respond() {
        if (!empty($_POST)) {
            foreach($_POST as $key =>$data) {
                if(preg_match('/(=|<|>|\')/', $data)){
                    return false;
                }
                $_GET[$key] = $data;
            }
        }
文章版权及转载声明:

本文由 心月IT技术博客 博主整理于 2019-11-10
若转载请注明原文及出处:https://www.xinyueseo.com/other/490.html

分享到:
赞(
发表评论
快捷输入:

验证码

    评论列表 (有 0 条评论,人围观)参与讨论