HPP全局污染实现的sql注入的漏洞

最新推荐文章于 2024-08-15 09:23:50 发布
最新推荐文章于 2024-08-15 09:23:50 发布
阅读量1k 收藏 19
点赞数 16
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64302290/article/details/141112718
版权

目录

实验概述:

实验环境:

代码漏洞分析:

 绕过第一个WAF

绕过第二个WAF:

        注入数据库名称:

        注入表名:

        注入列名:

        注入具体值:

实验概述:

1:什么是HPP的全局污染?
        HPP全局污染就是利用了php接收同样的参数是,对参数的处理来实现的一种漏洞。本次漏洞的实现就是利用该特点来实现的。

        我们利用两个点来实现的:

        (1):当传入两个参数的时候php会解析第二个参数

        (2):并且,我们还利用了web在解析  (.)  时会被解析为下划线(_),比如当我们传递一个i.d进入php时会被解析为i_d。

实验环境:

        搭建环境的代码如下:其中最为主要的逻辑处理的代码为index.php。所有源码可以去我的百度网盘下载;在搭建的时候只需要改一下数据库连接文件db.ini.php。

通过百度网盘分享的文件:daiqile
链接:https://pan.baidu.com/s/1qTAcTsJNHET-G4zkk44hLQ 
提取码:2cks

代码漏洞分析:

index.php文件代码展示:

<?php
header("Content-type: text/html; charset=utf-8");
require 'db.inc.php';
// include('db.inc.php');
  function dhtmlspecialchars($string) {
      if (is_array($string)) {
          foreach ($string as $key => $val) {
              $string[$key] = dhtmlspecialchars($val);
          }
      }
      else {
          $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
          if (strpos($string, '&amp;#') !== false) {
              $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
          }
      }
      return $string;
  }
  function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }

  foreach ($_REQUEST as $key => $value) {
      $_REQUEST[$key] = dowith_sql($value);
  }
  // 经过第二个WAF处理
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  //i_d=1&i.d=aaaaa&submit=1
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      //print_r($rewrite_url);exit;
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              //$_REQUEST[I_d]=-1 union select flag users
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }
  if (isset($_REQUEST['submit'])) {
      $user_id = $_REQUEST['i_d'];
      $sql = "select * from ctf.users where id=$user_id";
      $result=mysqli_query($conn,$sql);
      while($row = mysqli_fetch_array($result))
      {
          echo "<tr>";
          echo "<td>" . $row['name'] . "</td>";
          echo "</tr>";
      }
  }
?>

对代码进行分析:

        我们可以发现通过url传入的参数首先会经过dowith_sql()这个函数的过滤,当发现vlue中存在敏感字符时系统直接中断。此为第一个WAF,要是绕不过第一个WAF基本上实现不了注入。

        当通过第一个WAF后来到第二个WAF,在这里又会经过dhtmlspecialchars()函数的过滤。

只有通过了这两个WAF的严格检测后才可以将i_d中的参数带入到sql语句中进行查询。

测试:

        这是一个正常的访问。

         当传入的参数i_d中存在恶意字符时将中断在第一个WAF。

 绕过第一个WAF

        我们利用第一个点和第二个点来绕过。

        在第一个WAF中没有区分i_d和i.d,相当于是两个i_d,这里接收了第二个。

        构建payload:http://daiqile:12345/index.php?submit=1&i_d=select &i.d=12

我们查看回显界面没有提示“非法字符”,说明我们绕过了第一个waf来到了第二个waf。

        

绕过第二个WAF:

        在第二个WAF中参数的接收就会区分i_d和i.d。此时接收的就是i_d中的内容,我们在i_d中传入注入语句来进行注入即可。

        构建payload:?submit=1&i_d=-1/**/union/**/select/**/1,2,3&i.d=111

        可以看到回显在第二个字段。

        注入数据库名称:

        由于括号被过滤了,我们不能够直接使用database()来注入数据库的名称。所以我们要换一个方式来进行注入。在information_schema库的schemata表中记录了所有的数据库的名称。我们只需要一个一个进行注入即可注入出所有的数据库。

        这里代表注入出所有的数据库名称,因为这里为ctf比赛的题目,明显这里的数据库为ctf。

        我们也可以使用limit一个一个注入出来。

        注入表名:

        构建payload:如下

        注意点:

        (1):在where条件中,我们不能使用“=”,因为在如下代码中会使用“=”来进行分割,我们使用like来进行替代。

  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      //print_r($rewrite_url);exit;
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              //$_REQUEST[I_d]=-1 union select flag users
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }

        (2):由于过滤了单引号,我们不能直接写  table_schema like   ‘ctf’ ;我们需要将ctf转化为十六进制。

这样我们就可以查出表名:

        注入列名:

        构建payload如下:

    这样我们就可以将列名全部注入出来,注意这样注入出的列名是连在一起的。我们可以使用limit一个一个注入出来。

这里的列名为:id,username,flag。

        注入具体值:

        构建payload:这里注入出的值为flag列的值。也可以注入其他的值。

如上:我们就完成了所有的注入。以上就是所有的步骤。本次注入使用到的技巧比较多。

@菜鸟小小
关注
  • 16
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
贷齐乐利用hpp+php特性进行注入
01-08
贷齐乐利用hpp+php特性进行注入
SQL注入中的WAF绕过技术
08-03
SQL 注入中的 WAF 绕过技术 在 SQL 注入攻击中, Web 应用防火墙(WAF)是一个非常重要的安全防护机制。然而,攻击者可以使用各种技术来绕过 WAF 检测,从而达到攻击目的。本文将详细介绍 SQL 注入中的 WAF 绕过...
贷齐乐错误的waf引起的SQL注入漏洞复现
钟言的博客
03-07 6802
本篇复现贷齐乐错误的waf引起的SQL注入漏洞,详细内容包含了环境介绍 1、第一道WAF 2、第二道WAF 环境部署 1、模拟源码 2、连接数据库源码 3、数据库创建 4、测试 源码分析 1、模拟WAF 2、注入思路 3、PHP下划线特性 4、完成假设 四、联合查询注入 1、测试回显字段 2、爆出库名 3、爆出表名4、爆出表下的列名 4、爆出flag等内容
Sql与Rce注入相关漏洞复现
山月不问人间事
08-12 739
‌这些查询可以是SELECT、‌INSERT、‌UPDATE或DELETE等,‌它们将在数据库中按顺序处理,‌尽管它们是在单个函数调用中发送的。假设我发送的是这样一个请求:i_d=1&i.d=2 ,php先将i.d转换成i_d,即为i_d=1&i_d=2 ,再获取到的$_REQUEST['i_d']就是2。可在$_SERVER['REQUEST_URI']中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$_REQUEST['i_d']却是1。参数是可选的,‌用于限制分割后的数组元素数量。
贷齐乐错误的waf引起的SQL注入漏洞复现(关于HTTP参数污染的案例)
m0_52326740的博客
08-11 646
_REQUEST 遵循php接收方式 ,i_d&i.d中的最后一个参数的.转换为下划线 然后接收 所以我们的正常代码 放在第二个参数 ,waf失效。但是如果取后者,就没有意义了,因为我的注入语句都是在第一个i_d后面跟着的,所以我们要第一个传参去取第二个值,第二个传参去取一个值。去分割我们的带的REQUEST_URI以0开始取的,下一个才是1。它把你的'&', '"', '', '(', ')'弄成了实体编码。然后将来自己的传递的参数传进去,也就submit='bbbb'和i_d=2。
SQL注入详解
热门推荐
huangyongkang666的博客
03-20 4万+
SQL注入详解 1.SQL注入简介 ​ SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 ​ Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 2. sql 注入产生原因及威胁 ​ 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行
sql注入绕过+rce
qq_64951792的博客
08-12 1008
RCE基础、SQL注入绕过
centos7 安装sqlmap及利用sqlmap 进行SQL注入详解
m0_60571990的博客
02-21 1274
centos7 安装sqlmap及利用sqlmap 进行SQL注入详解
贷齐乐hpp+php特性注入
AXDRXS的博客
08-11 857
hpp php 只接收同名参数的最后一个,这个也涉及hpp全局参数污染。php中会将get传参中的key中的.转为_$_REQUEST 遵循php接收方式,i_d&i.d中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
2024全网最全面及最新且最为详细的网络安全技巧四 之 sql注入以及mysql绕过技巧 (4)———— 作者:LJS
weixin_74796680的博客
07-03 752
这个文件是更新用户信息用的,执行的语句类似update table set a='111',b='222' where uid=1,我们引入一个\在111的最后,转义掉111后面的引号,这样222就逃逸出了限制,我们的sql注入语句就可以放在222的位置执行了。%00转义成了\0.我们能够控制str_replace的前两个参数,则str_replace('0'\, ''\, $str),再将0转换成空,则留下了\,这个\可以转义其后的',使之变成',导致单引号逃逸出转义符的限制,都能经过第二个WAF。
第五篇:Bypass 护卫神SQL注入防御(多姿势)1
08-03
护卫神是一款专注于服务器安全的产品,其SQL防注入功能旨在保护服务器免受SQL注入攻击。以下是对每种Bypass方法的详细解释: 1. **%00截断**:在某些环境中,如ASPX+MSSQL,%00可以作为字符串结束符,导致WAF在处理...
第10篇:Bypass 护卫神SQL注入防御(多姿势)1
08-03
护卫神的SQL防注入规则相对稳定,但存在一些可被利用的漏洞。以下是一些绕过方法: 1. **%00截断**:在某些情况下,%00字符可以用来截断参数,使得WAF无法识别后面的有害内容。例如,对于ASPX+MSSQL,`...
一种VC++全局函数实现方法举例
05-26
全局函数的声明通常放在头文件(.h或.hpp)中,而定义则在源文件(.cpp)中。 在VC++环境中,我们可以按照以下步骤创建和使用全局函数: 1. **定义全局函数**:首先,在一个头文件(例如:GlobalFunction.h)中...
等保测评中的安全需求分析:构建精准的信息安全防护体系
最新发布
w13359990065的博客
08-15 538
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细的安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
[Linux]车联网安全-大佬都在用的渗透测试系统
Liyu_6618的博客
08-12 303
天刃是一个基于Ubuntu 18.04的车联网渗透测试发行版系统,主要用于针对车联网设备进行安全评估。系统内置上百个车联网安全测试专用工具,旨在解决车联网安全从业人员测试工具杂乱、测试环境配置复杂、无工具可用等一系列问题。本系统提供ISO镜像安装与OVA镜像导入方式安装,推荐使用OVA导入虚拟机操作更为简单方便。覆盖逆向、CAN、车载以太网、WiFi、蓝牙、云平台等安全测试。导入或安装成功后开机使用iov/root进行登录,登录成功后会显示用户体验计划,可选择同意或拒绝,确认完成后即可开始使用。
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
Future_2024的博客
08-13 584
便携式手提加固计算机:搭载飞腾4核/8核处理器的加固计算机
ctf 堆栈结构
qq_69100706的博客
08-12 378
CTF(Capture The Flag)竞赛中,理解堆栈结构对于解决涉及二进制分析、逆向工程和利用开发的挑战至关重要。堆栈是在程序执行过程中用于临时存储数据和管理函数调用的关键数据结构。
Scout Suite:开源云安全审计工具
网络研究观
08-12 303
Scout Suite 是一个开源、多云安全审计工具,旨在评估云环境的安全态势。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值