贷齐乐系统最新版SQL注入(绕过WAF可union select跨表查询)

已于 2024-08-11 22:32:48 修改
阅读量447 收藏 3
点赞数 18
分类专栏: SQL注入 文章标签: sql 数据库
于 2024-08-11 22:32:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aihua002/article/details/141098840
版权

目录

标题:贷齐乐系统最新版SQL注入(绕过WAF可union select跨表查询)

内容:
一,环境部署
二,源码分析
三,sql注入

总结:

[回到顶部](#article_top)

一,环境部署


本漏洞由于是2015年爆出的,所以这里源码使用的PHP版本不支持7版本,这里我们可以使用PHP5.4.45版本,只需小皮进行下载更改即可:
1.1 安装phpstudy
在这里插入图片描述
使用php5.4.45版本
在这里插入图片描述
将源码解压放在phpstudy的WWW目录下
在这里插入图片描述
配置连接数据库
在这里插入图片描述
创建数据库ctf,并且建立users表
在这里插入图片描述
插入数据
在这里插入图片描述

二,源码分析


2.1 第一道WAF分析
在这里插入图片描述
第一层WAF: 包含点,单引号,星号等等,一旦包含直接删除非法字符,然后又注释掉了一系列东西,这是第一个WAF防御。
2.2 第二道WAF分析
在这里插入图片描述
GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array(‘&’, ‘"’, ‘<’, ‘>’,‘(’,‘)’), array(‘&’, ‘"’, ‘<’, ‘>’,‘(’,‘)’), $string),

三,sql注入


3.1 注入思路
输入http://localhost/daiqile/demo.php?id=1&username=2&password=3
在这里插入图片描述
发现主要是进行了一个使用问号来进行的分割,分割为了两个数组,数组0是路径uri,数组1即为传入的参数。全是explode的功劳
在这里插入图片描述

在这里插入图片描述
思路:让第一道WAF检测不到恶意字符,再通过第二道WAF的覆盖,从而将恶意字符传入到REQUEST中,其实也就可以绕过WAF,完成注入了
再根据PHP下划线特性
这里我们需要了解PHP的一个小特性,那就是自身在进行解析的时候,如果参数中含有” “、”.”、”[“这几个字符,那么会将他们转换为下划线
所以我们可以利用这个特性,让第一道WAF解析一个正常的参数,第二道WAF来解析另一个恶意字符的参数从而完成覆盖注入。
3.2 开始注入
寻找回显点
在这里插入图片描述

我们可以看到是第二个字段进行的回显,所以我们就在第二个字段进行注入。
爆库名
在这里插入图片描述

爆出所有的库名
爆表名
在这里插入图片描述
爆字段名
在这里插入图片描述

查flag
在这里插入图片描述

总结:


1.HTTP参数污染(HPP):PHP只接收同名参数的最后一个值,这涉及到HTTP参数污染的问题。也就是说,如果一个请求中包含多个同名参数,PHP会忽略前面的,只使用最后一个。

2.PHP特性:在GET请求中,如果参数的键(key)包含点号(.),PHP会自动将其转换为下划线(_)。例如,参数i.d会被转换为i_d。

3. R E Q U E S T 数组: _REQUEST数组: REQUEST数组:_REQUEST数组会按照PHP的接收方式来处理参数,如果存在i_d和i.d这样的参数,PHP会将它们都转换为i_d,并且只接收最后一个参数的值。因此,如果攻击者将恶意代码放在第二个参数中,第一个参数即使被WAF检测到,也不会影响最终的请求数据,从而绕过了WAF的防护。

梦中北山
关注
  • 18
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
贷齐乐系统最新版SQL注入(无需登录绕过WAFunion select跨表查询
m0_68976043的博客
02-22 1238
单引号过滤16进制等号过滤可以用like空格绕过可以用注释符。
贷齐乐错误的waf引起的SQL注入漏洞复现
钟言的博客
03-07 6773
本篇复现贷齐乐错误的waf引起的SQL注入漏洞,详细内容包含了环境介绍 1、第一道WAF 2、第二道WAF 环境部署 1、模拟源码 2、连接数据库源码 3、数据库创建 4、测试 源码分析 1、模拟WAF 2、注入思路 3、PHP下划线特性 4、完成假设 四、联合查询注入 1、测试回显字段 2、爆出库名 3、爆出表名4、爆出表下的列名 4、爆出flag等内容
http参数污染利用php小特性绕过贷齐乐waf
qq_63034068的博客
08-09 402
GET/POST/REQUEST三个变量,都会经过这个正则:select\|insert\|update\|delete\|'\|/\*\|\*\|\.\./\|\./\|union\|into\|load\_file\|outfile。i_d=11111&i_d=22222 ,再获取到的$\_REQUEST i_d就是22222。可在$\_SERVER\['REQUEST\_URI'\]中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$\_REQUEST\['i_d\]却是11111。
贷齐乐hpp+php特性注入
丁航航的博客
08-11 405
分析可知,先进行两层waf拦截(详见下面),首先先对传入的参数使用dowith拦截,再使用dhtmlspecialchars拦截。再查询有没有submit,如果有则将id带入数据库进行查询并且返回值,如果没有submit,则直接退出。
RCE多种绕过技巧+贷齐乐漏洞复现
Nirvana92的博客
08-11 455
主要就是绕过该代码首先,我们来解析一下这个代码的重点:1、首先是第一点他限制了代码的长度,不能超过35个字节,但是这个无关紧要,下面这个才是最重要的2、第二点他过滤了所有的字母和数字,也就是说,不能输入如何字母/数字——即只是输入字符,?????
2024全网最全面及最新且最为详细的网络安全技巧四 之 sql注入以及mysql绕过技巧 (3)———— 作者:LJS
weixin_74796680的博客
07-01 834
这个洞的挖掘包括利用其实很巧妙,利用的是hpp+php特性,来绕过CMS应用中变态的WAF。造成漏洞 的根本原因不在hpp,也不在php的这个特性,根本原因是贷齐乐内部存在太多显而易见的SQL注入漏洞。但由于其官方开发人员过于相信WAF,或者说他们并没有正确处理SQL注入漏洞的能力,只能通过拦截一些关键字来抵御SQL注入。那么一旦WAF绕过,将造成无法挽回的损失。
贷齐乐漏洞复现
最新发布
beizhibuhuiqiaod的博客
08-11 513
找好了思路,那么我们就得想办法找到这个方法,这个想法之前我们说了要让第一道WAF找不到恶意字符,那么我们就得再$REQUET中不得有恶意字符。让第一道WAF检测不到恶意字符的思路便是,在第一道WAF进行检测时,检测为2,但是在覆盖REQUEST时候使它最终拿到1便可完成第一道WAF绕过。所以,我们得思考下如果我们有一种方法让第一道WAF检测不到恶意字符,再通过第二道WAF的覆盖,从而将恶意字符传入到$REQUEST中,其实也就可以绕过WAF,完成我们的注入了。函数循环判断,如果不是数组,那么直接执行。
request与在php安全,request导致的安全性问题分析
weixin_39699912的博客
04-14 420
说明最近在看P神之前分析的漏洞的文章,本篇文章就是记录看了P神的贷齐乐系统最新版SQL注入之后的一点体会和收获。本篇文章主要是要说明的是在PHP中由于对于$_REQUEST的认识不足或者是使用不当而导致的漏洞。目前漏洞类型主要是有两种,对$_REQUEST认识不足从而导致过滤失效,使用不当则指的存在HPP的漏洞从而导致全局WAF失效,这个漏洞也就是在P神文章中所说明的漏洞。$_REQUEST使用不...
一个wooyun正则
think_ycx的专栏
05-05 1408
&lt;th&gt;([0-9\-]+)&lt;/th&gt;[^&lt;]*?&lt;td&gt;&lt;a href="([^&gt;]+)"&gt;(.*?)&lt;/a&gt;[^&lt;]*?&lt;(img src="/images/(credit)?(m[1-3])?)?[^&lt;]*?&lt;(img src="/image
贷齐乐利用hpp+php特性进行注入
01-08
贷齐乐利用hpp+php特性进行注入
贷齐乐p2p借贷系统V2.1商业版
04-15
页面使用php技术 集理财与借款功能于一体 支持登录、注册 实名认证,手机号绑定、身份证 认证 支付宝充值、提现等功能
P2P借贷平台源码,拍拍贷借贷程序,贷齐乐借贷程序
06-04
P2P借贷平台源码/拍拍贷借贷程序/贷齐乐借贷程序,修正已知BUG,完美无错 使用前确保您空间支持PHP+MYSQL,还有伪静态,否则将无法正常使用! 使用规则位于根目录的.htaccess、httpd.ini文件,如何设置请咨询空间商! ...
齐乐手机2690产品培训资料.pptx
11-26
齐乐手机2690是一款特别为2010年上海世博会设计的音乐灯光折叠手机,具有独特的设计和出色的功能。这款手机以其创新的雪绒花呼吸灯和卓越的音乐体验为核心卖点,旨在吸引年轻用户群体。 产品概述: 齐乐2690手机...
Dav_笔记12:Automatic SQL Tuning 之 5 managing SQL Profiles
Dav_2099的博客
08-07 1088
SQL配置文件包含对自动SQL调整期间发现的较差优化程序估计值的更正。此信息可以改进优化器基数和选择性估计,从而导致优化器选择更好的计划。SQL配置文件不包含有关各个执行计划的信息。相反,优化程序在选择计划时具有以下信息源:■环境,包含数据库配置,绑定变量值,优化程序统计信息,数据集等■SQL配置文件中的补充统计信息如果环境或SQL配置文件发生更改,则优化程序可以创建新计划。您可以使用SQL配置文件,无论是否有SQL计划管理。如果使用SQL计划管理,则优化程序选择的计划必须是已启用的计划基准。
kubernetes集群部署sql server数据库服务
jiang0615csdn的博客
08-08 427
kubernetes集群部署sql server数据库服务
dbeaver 导入sql 报错,ERROR 2059 (HY000)
hyq_07_27的博客
08-07 217
ERROR 2059 (HY000): Authentication plugin ‘caching_sha2_password’ cannot be loaded: 鎵句笉鍒版寚瀹氱殑妯″潡銆�。下载后解压压缩包,点击“添加数据库地址”按钮,选择新的MySQL8的所在目录.再次导入就可以了。可以下载 MySQL免安装版配置教程mysql-8.0.39-winx64.zip。先mysql连接设置,查看一下dbeaver的mysql 版本,是5.5.62.版本问题,MySQL8之后更换了密码认证策略。
MyBatis 如何通过拦截器修改 SQL
Hello World
08-03 542
假如我们想实现多租户,或者在某些 SQL 后面自动拼接查询条件。在开发过程中大部分场景可能都是一个查询写一个 SQL 去处理,我们如果想修改最终 SQL 可以通过修改各个 mapper.xml 中的 SQL 来处理。但实际过程中我们可能穿插着 ORM 和 SQL 的混合使用,隐藏在代码中不容易被发现,还有假如项目中有很多很多的 SQL 我们不可能一个一个的去修改解决。这个时候我们就需要通过 mybatis 拦截 SQL 并且最终修改 SQL。实现Interceptor接口,并写相关逻辑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值