研究了下replace的注入安全问题。
一般sql注入的过滤方式就是引用addslashes函数进行过滤。
他会把注入的单引号转换成\',把双引号转换成\",反斜杠会转换成\\等
写一段php代码:
<!DOCTYPE html> <html> <head> <title></title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> </head> <body> <?php $x=$_GET['x']; $id=str_replace(addslashes($_GET['y']),'',addslashes($x)); echo "过滤后:".addslashes($x)."<br/>"; echo "replace替换绕过:".$id."<br/>"; $conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库 mysql_select_db('test',$conn);//选择$conn连接请求下的test数据库名 $sql = "select * from user1 where id='$id'";//定义sql语句并组合变量id $result = mysql_query($sql);//执行sql语句并返回给变量result while($row = mysql_fetch_array($result)){//遍历数组数据并显示 echo "ID".$row['id']."</br>"; echo "用户名".$row['name']."</br>"; } mysql_close($conn);//关闭数据库连接 echo "<hr>"; echo "当前语句:"; echo $sql; ?> </body> </html>
发现是引用了addslashes函数的:
一个单引号或者双引号直接被转义,字符串注入到这里基本上gg了。没戏了。
addslashes的问题:
addslashes会把%00转换成\0
addslashes会把单引号(')转换成\'
因为使用了str_replace函数,会替换那么输入%00' 就被addslashes函数自动添加\0\',然后我们匹配0,就变成了\\'再次转换成\',单引号成功逃逸。
<?php echo str_replace("0","","\0\'") ?>
\0\'就是我们输入的%00'
会输出:
那么知道了原理根据上面的php代码构造合适的sql语句绕过addslashes过滤
单引号成功逃逸,这里不能用单引号闭合了,后门闭合会被过滤那么直接:
返回真:
返回假
那么想出数据就很方便。这里不演示了常规语句就行了。
模拟环境没啥意思,去网上找了个别人的代码审计文章,找到了一个雨牛挖的cmseasy的str_replace绕过注入的真实案例