SQL注入之EVAL长度限制突破技巧

已于 2024-08-11 19:48:52 修改
阅读量692 收藏 15
点赞数 12
文章标签: 安全 sql 数据库 web安全
于 2024-08-11 19:43:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65858385/article/details/141108916
版权

要求:

PHP Eval函数参数限制在16个字符的情况下 ,如何拿到Webshell?

widows小皮环境搭建:

使用phpstudy搭建一个网站。

随后在该eval文件夹下创建一个webshell.php文件,并在其输入代码环境

解题思路:

通过webshell.php的代码中我们可以看到,我们传递的一个param的参数长度小于17位,即长度最多十六位,而且里面不能包含eval和assert,最后eval执行。这就是这段代码的含义。

这个题的难度在于其的长度限制。

我们输入?param=phpinfo();查看页面为php正常。

但我们也就只有输入一个phpinfo();了,但是这只是在Windows下不行了,在Linux下继续接着尝试。

Linux环境搭建:

进入nginx下的html文件夹中创建一个web.php文件下输入代码。

cd /usr/local/nginx/html

vim web.php

:wq保存退出,在/usr/local/nginx/sbin下./nginx启动nginx。

浏览器进入该web.php。

再次解题:

输入?param=phpinfo();测试环境搭建成功。

但是跟解题无关,依然只是个php界面,啥用没有,我们输入?param=·$_GET[1]·&1=id,

id通过反引号执行,因为在Linux下反引号是可以执行命令的。

'$_GET[1]'&1=id,这个代码的意思就是将$_GET[1]中的1的参数放在Linux下执行,实际上执行的就是$_GET[id],而这17位主要是'$_GET[1]'这个不能突破17位,而后面的1=id随便写多少位都行。

发现没有任何执行显示,这是因为我们执行了但没有输出,只需在前面加上个echo和;即可,?param=echo `$_GET[1]`;&1=id

这就完成了我们的代码执行转换为了命令执行,再转为whoami查看我们的用户是谁。?param=echo `$_GET[1]`;&1=whoami

若是想要执行其他命令例如rm之类的不能执行到,因为权限不够。

比如我们在tmp下创建一个文件,?param=echo `$_GET[1]`;&1=touch /tmp/ceshi123.txt

在Linux中查看,创建成功,用户及权限都是www-data.

以上就是一个突破长度限制的一个内容,算是最简单的一种技巧,接触过第一次后,就很容易的想到这种办法了,当有长度限制的要求时,Windows下的环境一般不会有,因为大部分99%的公司企业环境都用的Linux,而当一看到长度限制只有几位操作空间的时候就可以想到Linux了。

其他技巧:

当然还有另一种稍微难点的技巧。

web.php?1=file_put_contents&param=$_GET[1](N,P,8);

web.php?1=file_put_contents&param=$_GET[1](N,D,8);

继续追加

web.php?1=file_put_contents&param=$_GET[1](N,w,8);

web.php?param=include$_GET[1];&1=php://filter/read=convert.b ase64-decode/resource=N

这里向param传入的$_GET[1],这个GET[1]接受的参数是file_put_contents,实际GET[1]中写的就是file_put_contents,这个file_put_contents里传了三个参数,N、P、8,N是我们要写的文件名,也就是我们要写进这个文件里去,P是我们一句话木马的一个base64编码,8代表着追加。我们输入web.php?1=file_put_contents&param=$_GET[1](N,P,8);后在Linux中的查看会发现多了一个N的文件,N文件中内容为P,再执行一个web.php?1=file_put_contents&param=$_GET[1](N,D,8);这其实就是将base64编码一个一个往N里面追加。但是在官方文档中这个8是FILE_APPEND,这样就超出长度限制了,根本用不了,8是因为php底层C语言代码中file_put_content函数中的追加是8,所以这里写的8而不是php官方文档中写的FILE_APPEND。这里就是写8的原因而不是写的其他。这里追加的是base64编码而不是其他编码是因为有些特殊字符在file_append中追加不了,比如^?等追加不了。读取是通过php的尾协议用base64-decode解码成一个正常的语句文件包含进去的N里面是可以识别的一句话木马。前提就是得一个一个追加完成后进行一个解码执行。

还有一个web.php?1[]=test&1[]=phpinfo();&2=assert。加上一个usort(...$_GET);即PHP5.6+变长参数 ⇒ usort回调后门 ⇒ 任意代码执行,前提是要进行一个抓包,这里使用的是burpsuite抓包。

抓包结果如下。

对开头得GET修改为POST末尾追加param=usort(...$_GET);加;是因为要传入eval中得,这里usort(...$_GET);一共16位没有超过17位。

这里php5.6可以接收...GET变长参数,usort的回调后门去执行。

然后在action中send to repeater后在repeater中send就可以在旁边看到了。

以上三个方法就是EVAL长度限制突破技巧的一小部分技巧了。

東霜鲟雪
关注
突破SQL注入攻击时输入框长度限制
谈笑书生'BLOG
04-17 2393
作者:  czy82     前天TK研究的一个网页改COOKIE的小玩意儿给我了一点点灵感昨晚又和adam聊了聊SQL注入,今早上来就写了这篇东东.    xp_cmdshell net user abc def /add这些命令大家想必都用烂了吧,但是在实际的测试中我们常常会遇到这样的情况,服务器的asp脚本没有对用户的输入做限制,但是在网页上通过对输入框设置maxlength属性使我们的
ETL工具Sqoop的入门学习(二)之eval语句使用以及import的增量导入。
Ganxiang
05-08 1367
ETL工具Sqoop的入门学习(二) 目录回顾1,eval语句-查询数据插入数据2,import的增量导入将数据增量从MySQL导入HDFS 回顾 对于sqoop将MySQL某一张表的全量导入hdfs上和hdfs上的数据全量导出到MySQL中的某一张表可查看这里ETL工具Sqoop的入门学习(一) 对数据来源感兴趣的伙伴可以参考这篇博客python 爬取应届生求职网中的求职信息并存入MySQL数据...
RCE绕过技巧
最新发布
m0_68498873的博客
08-12 1009
-[
PostgreSQL中字符串SQL(如 eval)执行查询
林胖的专栏
05-08 1814
PostgreSQL 中的字符串值(如 eval)中执行查询;执行动态sql
惊艳!SQLCoder-7b登顶AI SQL大模型,准确率高达93%!它如何超越GPT-4成为新王者?揭秘背后的神秘武器!
李孟的博客
02-07 3871
在AI的浪潮之巅,一款名为SQLCoder-7b的模型在huggingface上震撼发布,它不仅在文本转SQL生成上与GPT-4平分秋色,更在数据处理的速度和准确性上实现了惊人突破,甚至有超越GPT-4的势头。
mysql eval,mysql中是否有类似于eval的写法的,答案在这里
weixin_39653078的博客
03-17 595
在我们写sql的时候,经常可能会遇到同一个问题:mysql是否具备eval的功能从而使我的变量动态加载到对应的sql语句中:eval('echo "abc";');?>var s=eval("{'a':'123456'}");//---您的mysql也想玩eval?答案是肯定的,没有,但是不要灰心 有个一个很好用的方法来替代:PREPARE statement_name FROM sql_t...
深入认识javascript中的eval函数
李涛的技术专栏
06-10 1192
发现为本文起一个合适的标题还不是那么容易,呵呵,所以在此先说明下本文的两个目的:(1)介绍javascript中的eval函数的用法(2)如何在函数内执行全局代码►先来说eval的用法,内容比较简单,熟悉的可以跳过。eval函数接收一个参数s,如果s不是字符串,则直接返回s。否则执行s语句。如果s语句执行结果是一个值,则返回此值,否则返回undefined。需要特别注意的是对象声明语法“{}”
php防止sql注入代码实例
12-18
总的来说,防止SQL注入需要结合多种方法,包括但不限于预处理语句、数据过滤、限制输入长度、使用安全的库,并且始终保持警惕,定期更新和测试。通过这些措施,可以显著降低PHP应用程序遭受SQL注入攻击的风险。
SQL注入全面讲解技术文档
03-31
以下是对SQL注入漏洞的全面讲解,包括其原理、防范方法以及高级技巧。 1. SQL注入漏洞原理: SQL注入的基础在于,当用户输入的数据直接拼接到SQL查询语句中,而没有经过适当的过滤或转义,攻击者可以构造特定的...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 012-网络安全应急技术与实践(Web层-SQL注入
热门推荐
时光隧道
02-09 7万+
Web层攻击分析与应急响应演练是指对Web应用程序进行攻击分析,发现潜在的漏洞和安全威胁,并在发生安全事件时能够迅速做出应急响应措施的过程。进行Web层攻击分析是为了了解Web应用程序存在的弱点和漏洞,从而提前对其进行修复和加固。攻击分析可以包括对Web应用程序进行安全扫描、漏洞评估和渗透测试等活动,通过模拟真实攻击场景,发现可能被黑客利用的漏洞,如SQL注入、跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。攻击分析的目的是为了及早发现和修复潜在的安全问题,确保Web应用程序的安全性。
渗透测试 ( 6 ) --- SQL 注入神器 sqlmap
墨鱼菜鸡
07-11 3092
sqlmap 官网:http://sqlmap.org/ sqlmap文档地址:https://github.com/sqlmapproject/sqlmap/wiki/Usage sqlmap 使用 思维导图:http://download.csdn.net/detail/freeking101/9887831 黑帽与白帽都喜爱的十大SQL注入工具:...
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4546
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
SQL注入漏洞
haoge1998的博客
04-15 1203
SQL注入漏洞 1、注入攻击的核心点: 拼接有效的语句或代码 确保完成闭合,并且可以改变原有执行逻辑 2、防护: 从代码sql语句的逻辑层面考虑,不能轻易让密码对比失效 基于用户输入的引号(单引号和双引号)进行转义处理,可以使用PHP内置函数addslashes进行强制转义。 使用mysqli的预处理功能 一、查询注入的数据类型 注入类型可以分为三类: 1、数字型 select * from tables where id = 1; 2、字符型 select * from tables whe
eval函数
holycup的专栏
03-30 1万+
 首先来个最简单的理解            eval可以将字符串生成语句执行,和SQL的exec()类似。                             eval的使用场合是什么呢?有时候我们预先不知道要执行什么语句,只有当条件和参数给时才知道执行什么语句,这时候eval就派上用场了。举个例子:                  我们要做一个function(),功能是输入网页
eval在JS中的作用
xiaoman_的博客
04-19 1134
form:http://www.zhiminliu.com/?p=398 eval函数是强大的数码转换引擎,字符串经eval转换后得到一个javascript对象, 举简单例子: var a = eval(“5″);等效于var a = 5; var a = eval(“’5′”);等效于var a = ’5′; var obj = eval(“({name:’cat’,colo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值