str_replace導致的注入問題匯總

• 2019 年 10 月 3 日
• 筆記

　　　　研究了下replace的注入安全問題。

　　　　一般sql注入的過濾方式就是引用addslashes函數進行過濾。

他會把注入的單引號轉換成’,把雙引號轉換成”,反斜杠會轉換成\等

　　寫一段php程式碼:

<!DOCTYPE html>  <html>  <head>      <title></title>      <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>  </head>  <body>  <?php      $x=$_GET['x'];      $id=str_replace(addslashes($_GET['y']),'',addslashes($x));      echo "過濾後:".addslashes($x)."<br/>";      echo "replace替換繞過:".$id."<br/>";      $conn = mysql_connect('127.0.0.1','root','root');//連接mysql資料庫       mysql_select_db('test',$conn);//選擇$conn連接請求下的test資料庫名       $sql = "select * from user1 where id='$id'";//定義sql語句並組合變數id       $result = mysql_query($sql);//執行sql語句並返回給變數result       while($row = mysql_fetch_array($result)){//遍曆數組數據並顯示           echo "ID".$row['id']."</br>";          echo "用戶名".$row['name']."</br>";      }      mysql_close($conn);//關閉資料庫連接       echo "<hr>";      echo "當前語句：";      echo $sql;  ?>  </body>  </html>

　　發現是引用了addslashes函數的:

一個單引號或者雙引號直接被轉義，字元串注入到這裡基本上gg了。沒戲了。

　　addslashes的問題:

　　　　addslashes會把%00轉換成

　　　　addslashes會把單引號(‘)轉換成’

　　　　因為使用了str_replace函數，會替換那麼輸入%00′ 就被addslashes函數自動添加’，然後我們匹配0,就變成了\’再次轉換成’,單引號成功逃逸。　　

<?php      echo str_replace("0","","'")  ?>

’就是我們輸入的%00′

　　會輸出:

那麼知道了原理根據上面的php程式碼構造合適的sql語句繞過addslashes過濾

單引號成功逃逸，這裡不能用單引號閉合了，後門閉合會被過濾那麼直接：

　　返回真:

返回假

那麼想出數據就很方便。這裡不演示了常規語句就行了。

模擬環境沒啥意思，去網上找了個別人的程式碼審計文章,找到了一個雨牛挖的cmseasy的str_replace繞過注入的真實案例

　　2014年的漏洞，cmseasy相關版本網上已經找不到了,我改寫了個cmseasy,方便測試這個replace注入:

　　cmseasy環境下載:鏈接:https://pan.baidu.com/s/1w-knpeOp8D4AuWe3N5U1vA  密碼:jk1a

　　存在問題的目錄lib/plugins/pay/alipay.php

　　第87行用了str_replace替換

替換後的內容賦值給了$order_sn

　　往下看發現調用了check_money函數,跟蹤下這個函數查看內部實現:

　　uploads/lib/table/pay.php

　　先是賦值然後調用了getrow函數，跟進去看看:

　　uploads/lib/inc/table.php

　　condition沒有啥資料庫操作後跟下面那個函數，跟蹤下rec_select_one:

　　還在table.php文件下:

　　跟下sql_select函數:

被帶入資料庫查詢:

　　默認echo $sql;是被注釋的，解除注釋方便查看sql語句：

　　因為str_replace的緣故,可以被繞過進行sql注入:

　　去除注釋符,構造poc:

　　http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

  POST:out_trade_no=11111%00'&subject=0
　sql語句報錯存在sql注入

那麼修復方案是什麼呢?
　　回到剛開始的alipay.php
 第79行
　　

　　正則匹配下'
　　　　然後再次訪問：
直接跳轉了不再停留了。 
　　

修復方案:
　　

function respond() {          if (!empty($_POST)) {              foreach($_POST as $key =>$data) {                  if(preg_match('/(=|<|>|')/', $data)){                      return false;                  }                  $_GET[$key] = $data;              }          }
參考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html