小編給大家分享一下php中因str_replace導(dǎo)致的注入問題的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

創(chuàng)新互聯(lián)建站是一家專業(yè)提供蘭溪企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站制作、做網(wǎng)站、html5、小程序制作等業(yè)務(wù)。10年已為蘭溪眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

一般sql注入的過濾方式就是引用addslashes函數(shù)進(jìn)行過濾。

他會把注入的單引號轉(zhuǎn)換成\',把雙引號轉(zhuǎn)換成\",反斜杠會轉(zhuǎn)換成\\等

寫一段php代碼:

<!DOCTYPE html>
<html>
<head>
 <title></title>
 <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
</head>
<body>
<?php
 $x=$_GET['x'];
 $id=str_replace(addslashes($_GET['y']),'',addslashes($x));
 echo "過濾后:".addslashes($x)."<br/>";
 echo "replace替換繞過:".$id."<br/>";
 $conn = mysql_connect('127.0.0.1','root','root');//連接mysql數(shù)據(jù)庫 
 mysql_select_db('test',$conn);//選擇$conn連接請求下的test數(shù)據(jù)庫名 
 $sql = "select * from user1 where id='$id'";//定義sql語句并組合變量id 
 $result = mysql_query($sql);//執(zhí)行sql語句并返回給變量result 
 while($row = mysql_fetch_array($result)){//遍歷數(shù)組數(shù)據(jù)并顯示 
  echo "ID".$row['id']."</br>"; 
  echo "用戶名".$row['name']."</br>"; 
 } 
 mysql_close($conn);//關(guān)閉數(shù)據(jù)庫連接 
 echo "<hr>"; 
 echo "當(dāng)前語句："; 
 echo $sql;
?>
</body>
</html>

發(fā)現(xiàn)是引用了addslashes函數(shù)的:

一個單引號或者雙引號直接被轉(zhuǎn)義，字符串注入到這里基本上gg了。沒戲了。

addslashes的問題:

　　addslashes會把%00轉(zhuǎn)換成\0

　　addslashes會把單引號(')轉(zhuǎn)換成\'

　　因為使用了str_replace函數(shù)，會替換那么輸入%00' 就被addslashes函數(shù)自動添加\0\'，然后我們匹配0,就變成了\\'再次轉(zhuǎn)換成\',單引號成功逃逸?！　?/p>

<?php
 echo str_replace("0","","\0\'")
?>

\0\'就是我們輸入的%00'

會輸出:

那么知道了原理根據(jù)上面的php代碼構(gòu)造合適的sql語句繞過addslashes過濾

單引號成功逃逸，這里不能用單引號閉合了，后門閉合會被過濾那么直接：

返回真:

返回假

那么想出數(shù)據(jù)就很方便。這里不演示了常規(guī)語句就行了。

模擬環(huán)境沒啥意思，去網(wǎng)上找了個別人的代碼審計文章,找到了一個雨牛挖的cmseasy的str_replace繞過注入的真實案例

2014年的漏洞，cmseasy相關(guān)版本網(wǎng)上已經(jīng)找不到了,我改寫了個cmseasy,方便測試這個replace注入:

cmseasy環(huán)境下載:鏈接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取碼: 7aj3

存在問題的目錄lib/plugins/pay/alipay.php

第87行用了str_replace替換

替換后的內(nèi)容賦值給了$order_sn

往下看發(fā)現(xiàn)調(diào)用了check_money函數(shù),跟蹤下這個函數(shù)查看內(nèi)部實現(xiàn):

uploads/lib/table/pay.php

先是賦值然后調(diào)用了getrow函數(shù)，跟進(jìn)去看看:

uploads/lib/inc/table.php

condition沒有啥數(shù)據(jù)庫操作后跟下面那個函數(shù)，跟蹤下rec_select_one:

還在table.php文件下:

跟下sql_select函數(shù):

被帶入數(shù)據(jù)庫查詢:

默認(rèn)echo $sql;是被注釋的，解除注釋方便查看sql語句：

因為str_replace的緣故,可以被繞過進(jìn)行sql注入:

去除注釋符,構(gòu)造poc:

http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

       POST:out_trade_no=11111%00'&subject=0

sql語句報錯存在sql注入

那么修復(fù)方案是什么呢?

回到剛開始的alipay.php

第79行

正則匹配下\'

　　然后再次訪問：

直接跳轉(zhuǎn)了不再停留了。

修復(fù)方案:

function respond() {
  if (!empty($_POST)) {
   foreach($_POST as $key =>$data) {
    if(preg_match('/(=|<|>|\')/', $data)){
     return false;
    }
    $_GET[$key] = $data;
   }
  }

以上是“php中因str_replace導(dǎo)致的注入問題的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

分享名稱：php中因str_replace導(dǎo)致的注入問題的示例分析-創(chuàng)新互聯(lián)
地址分享：http://chinadenli.net/article42/doipec.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供移動網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、營銷型網(wǎng)站建設(shè)、定制開發(fā)、品牌網(wǎng)站建設(shè)、手機(jī)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)