使用复杂变量绕过addslashes函数实现RCE

最新推荐文章于 2023-04-02 15:55:09 发布
最新推荐文章于 2023-04-02 15:55:09 发布
阅读量1.7k 收藏 1
点赞数 3
分类专栏: ctf_web 知识点
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silence1_/article/details/102853517
版权

使用复杂变量绕过addslashes函数实现RCE

addslashes ( string $str ) : string
使用反斜线引用字符串
返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(")、反斜线(\)与 NUL(NULL 字符)。

简单的说,就是在传入的字符串的单引号,双引号,反斜线和空字符前加反斜线转义

先看看题目代码:
<?php 
highlight_file(__FILE__);
$str=@(string)$_GET['str'];
eval('$str="'.addslashes($str).'";');

这里使用双引号包裹addslashes($str),看起来没有问题,因为如果我们试图传入双引号时会被addslashes给添加一个反斜线转义

再看看php中单引号和双引号的区别
单引号:

其中的内容不会经过解释(\n不会输出为换行,而是直接输出),即内容会与输入的内容一致

$a = 1;
echo 'a is $a';

result: a is $a
双引号:

双引号中的内容将会被解释,即解析内容中的变量

$a = 1;
echo "a is $a";

result: a is 1

还有就是,如果双引号中插入单引号,单引号中的变量也会被解释

$a = 1;
echo "'a is $a'";

result: 'a is 1'
再来看看php中的复杂变量

由上面知道,php在双引号中可以解析变量
而解析变量共有两种语法规则:一种简单规则,一种复杂规则。

复杂规则:

任何具有string表达的标量变量,数组单元或对象属性都可使用此语法。只需简单地像在string以外的地方那样写出表达式,然后用花括号{和}把它括起来即可。由于{无法被转义,只有$紧挨着{时才会被识别。可以用{$来表达{$。

note:
函数、方法、静态类变量和类常量只有在 PHP 5 以后才可在 {$} 中使用。然而,只有在该字符串被定义的命名空间中才可以将其值作为变量名来访问。只单一使用花括号 ({})无法处理从函数或方法的返回值或者类常量以及类静态变量的值。

这是php手册中的描述。
简单的说,我们要在双引号中使用变量,那么变量名怎么定界
比如:

$abc=1;
echo "$abcd";

这里我想输出的是1d,而php会将$abcd当成一个变量,所以就可以使用{}来定界我们的变量

$abc=1;
echo "${abc}d";

也就是说 {}为变量名定义了一个边界。也就是说”{${abc}}”和”${abc}”效果是一样的。

再来看看php中的变量的定义

通常一个变量的定义必须是以下划线或者英文字母开头,且变量名只能包含下划线字母和数字。

这是常规的定义变量的办法,但php中还可以接受函数的返回值作为变量名

比如:

var_dump(${phpinfo()}=123);
var_dump($a=123);

result:int(123) int(123)

前面的${phpinfo()}的命名步骤:
① 先执行phpinfo()
② 将phpinfo()的返回值作为变量名定义变量
③ 变量赋值为123

一个例子就能看清本质:

$test = "hello world";
function a(){
$str = 'test';
return $str;
}
echo  "${a()}";

result: hello world

到这里,我们的题目答案就呼之欲出了
payload:?str=${eval($_GET[1])}&1=phpinfo();

参考:https://www.chabug.org/ctf/425.html

Dar1in9
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql 绕过addslashes_代码审计之绕过addslashes总结
weixin_31109967的博客
01-19 1126
if(is_null($_REQUEST['username']) || is_null($_REQUEST['password'])){die();}$link=mysql_connect("localhost","root","root");mysql_query("SET NAMES 'gbk'");mysql_select_db("test",$link);$username=$_REQU...
PHP ctf addslashes,[红日安全]代码审计Day13 - 特定场合下addslashes函数绕过
weixin_33631836的博客
03-17 685
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并...
mysql addslashes()函数_addslashes()函数绕过
weixin_35965051的博客
01-19 1606
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
php_addslashes绕过与写入文件配置getshell
awanawan的博客
09-23 1051
绕过addslashes并写入文件配置getshellis_numeric函数 写入配置getshell与addslashes绕过: <?php $str = addslashes($_GET['option']); $file = file_get_contents('xxxxx/option.php'); $file = preg_replace('|\$option=\'.*\';|'...
mysql 绕过addslashes_代码审计Day13 - 特定场合下addslashes函数绕过
weixin_34236986的博客
02-07 676
原标题:代码审计Day13 - 特定场合下addslashes函数绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
HITCTF 2018 wp [我真是菜鸟]
Assassin
02-02 5768
WEB PHPreading 源码泄露,存在index.php.bak,,解一下base64知道 $flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){die($flag);}die('emmmm'); 输入得到flag BabyEval 看一下泄露了一部分源码 <!-- $str=@(str
php中使用addslashes函数报错问题的解决方法
12-18
在PHP编程中,`addslashes()` 和 `addcslashes()` 都是用来转义字符串的函数,但它们在使用上有着显著的区别。这篇文章主要探讨的是如何解决在PHP中使用`addslashes()`函数时遇到的报错问题,以及这两个函数的具体...
php中addslashes函数与sql防注入
12-18
对于更复杂的情况,开发者可能会结合使用`addslashes`、`htmlspecialchars`以及其他的过滤函数,比如`html_entity_decode`来处理多层编码或解码。同时,使用安全的编程实践,如限制数据库用户的权限、避免使用动态...
PHP中使用addslashes函数转义的安全性原理分析
10-25
主要介绍了PHP中使用addslashes函数转义的安全性原理分析,较为深入的分析了addslashes函数的用法及ecshop自定义函数addslashes_deep的不足之处,非常具有实用价值,需要的朋友可以参考下
HITCTF2018-web全题解
蚁景网安学院
02-07 2822
点击蓝字关注我们前记最近参加了一下哈工大办的HITCTF,感觉题目可以学到知识,于是分享一下我的题解~01PHPreading发现文件泄露http://198.13.58.35:8899...
小技巧|addslashes绕过
weixin_30906425的博客
11-26 1533
1:字符编码问题导致绕过 1.1、设置数据库字符为gbk导致宽字节注入 1.2、使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入 2:编码解码导致的绕过 2.1、url解码导致绕过addslashes 2.2、base64解码导致绕过addslashes 2.3、json编码导致绕过addslashes 3:一些特殊情况导致的绕过 ...
sqli-labs通关全解---有关过滤的绕过--less23,25~28,32~37--8
cyynid的博客
01-12 893
preg_replace()用于sql注入防护中,主要是将一些疑似攻击的代码进行替换处理,从而使得他无法达到攻击的目的,例如将‘/’替换成空格,将union替换成空格等,但是由于攻击方式的多样化和程序员的疏忽,往往无法过滤掉所有的攻击,甚至可以对此类过滤进行绕过处理。返回在预定义字符之前添加反斜杠的字符串。即将预定义的字符进行转义提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。本文列举了一些对此类过滤方法的绕过手段,同样,也可以针对绕过手段,进行更加安全的过滤。
mysql 多字节编码漏洞_PHP字符编码绕过漏洞--addslashes、mysql_real_escape漏洞
weixin_39912580的博客
02-01 178
在上次活动开发过程中,有个程序写了下面这样的语句:$sName = $_GET['name'];$sName = addslashes($sName);$sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";var_dump($sql);exit();结果扫描工具一扫描,发现问题来了,被扫除了S...
10-Web安全——SQL注入WAF绕过之宽字节注入
网络安全
06-04 879
addslashes()函数在指定的预定义字符前添加反斜杠,这些字符是单引号('),双引号("),反斜线(\)与NUL(NULL字符)。例如客户端提交的参数中如果含有单引号,双引号等这些特殊字符,addslashes函数则会在单引号前加反斜线“\”,将单引号转义成没有功能性的字符。 举个栗子: 以查询用户名为1’的信息为例,username中的参数为1',MySQL数据库在解析这条SQL语句时,会把1后面的单引号认为是闭合符号要求再输入一个单引号闭合,而不是当做username参数的一部分来处.
【CTF】命令执行RCE
qq_53099119的博客
04-02 2629
md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法:MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长度的"指纹信息"或"报文摘要"值来代表这个输入值,并以换算后的值作为结果。MD5 算法主要是为数字签名应用程序而设计的;
dd.fun.php,[php4fun](challenge2)将只能执行phpinfo的漏洞转换为一句话木马
weixin_29491635的博客
03-18 397
源码 :$str=@(string)$_GET['str'];eval('$str="'.addslashes($str).'";');最开始百思不得其解 , 然后查阅了一些大佬们的 WriteUp得到如下的 payload :?str=${phpinfo()}相关 php 官方文档可以参考 :但是仍旧不太明白为什么这样就可以执行代码...希望有知道的大佬可以教教我本文的重点来了笔者在根据网上大佬...
buuctf刷题 4(php&Rce&escapeshellarg cmd组合漏洞)
weixin_63231007的博客
05-05 1561
[MRCTF2020]Ez_bypass 1 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (md5($id) === md5($gg) &&
PHP美元符和花括号组合那些事—${${}}
weixin_30624825的博客
11-15 419
双美元符+{}:${${variable}}是一种比较常见的用法,但是它的实现原理是什么呢?今天来探究一下: 提及这种用法,还得先说一下PHP的String类型php.net上指出,一个字符串可以用4种方式表达:单引号,双引号,heredoc语法结构,nowdoc语法结构这里heredoc语法结构和双引号形式类似,同样nowdoc结构对应单引号单引号:单引号包围起来的字符串中,单引号必须转义才能...
完成sqli/Less-34/实验演示,主要给大家讲解如果代码有过滤(bypass addslashes())的情况,怎么绕过过滤实现注入
最新发布
08-12
### 回答1: 在学习如何绕过过滤之前,我们需要了解一下 addslashes() 函数的作用是什么。 addslashes() 函数是 PHP 中一个用于转义字符串中的特殊字符的函数,它将字符串中的单引号(')、双引号(")、反斜杠(\)和 NUL(NULL 字符)都转义成了它们的转义序列。例如,如果我们要在字符串中使用单引号,那么就需要在前面加上一个反斜杠来转义它,如下所示: ``` $name = 'Tom\'s Blog'; ``` 在这段代码中,我们使用了反斜杠来转义了单引号,否则代码会报错。 而我们在注入时,通常会使用单引号来包裹注入语句,因此 addslashes() 函数会将我们注入语句中的单引号都转义掉,从而使得注入无法成功。 那么如何绕过这个过滤呢?我们可以使用双重 URL 编码的方式来绕过 addslashes() 函数的过滤。具体步骤如下: 1. 首先,我们需要将注入语句进行 URL 编码。例如,我们要注入的语句是: ``` ' or 1=1# ``` 那么我们可以使用 PHP 中的 urlencode() 函数对其进行编码: ``` %27%20or%201%3D1%23 ``` 2. 接下来,我们需要对已经经过一次 URL 编码的字符串再进行一次 URL 编码。这里我们可以使用浏览器自带的编码工具,将上一步得到的字符串进行编码,得到双重 URL 编码后的注入语句: ``` %2527%2520or%25201%253D1%2523 ``` 3. 最后,我们将双重 URL 编码后的注入语句作为参数发送给服务器,就可以成功地绕过 addslashes() 函数的过滤,实现注入了。 需要注意的是,双重 URL 编码的方式只是一种绕过 addslashes() 函数的方法,并不是通用的绕过过滤的方法。在实际渗透测试中,我们需要根据具体情况寻找合适的绕过方法。 ### 回答2: 首先,了解代码的过滤机制非常重要。在SQL注入演示的过程中,过滤通常是通过使用addslashes()函数实现的。addslashes()函数用于在特定字符(例如单引号和双引号)之前添加反斜杠,以防止它们干扰SQL查询。 为了绕过这种过滤措施,我们可以利用一些技巧。以下是一些可能的方法: 1. 使用双写绕过:在传递给SQL查询的参数中,可以使用两个单引号(')来表示一个单引号。这样,即使在添加反斜杠之后,我们仍然可以成功注入。 2. 使用拼接字符串绕过:有时,代码可能会将用户输入的数据与其他字符串进行拼接,然后再进行查询。在这种情况下,我们可以使用的注入点是字符串的结束位置。例如,如果代码是这样的:$query = "SELECT * FROM users WHERE username='" . $username . "'";,我们可以在用户名参数中注入恶意代码,如' OR '1'='1'--。 3. 利用转义字符绕过:有时,代码会过滤掉反斜杠字符(\),因此我们可以使用它来绕过过滤。例如,我们可以尝试注入字符串:'\' OR '1'='1'--。 4. 使用注释绕过:有时,代码会过滤掉注释符号(例如--和/* */)。在这种情况下,我们可以使用注释来绕过过滤。例如,我们可以在注入代码之前添加注释符号,如' OR '1'='1'--。 5. 使用其他SQL关键字绕过:在某些情况下,代码可能过滤了'和"字符,但允许其他SQL关键字,如AND和OR。我们可以尝试使用这些关键字来构造有效的注入。 总结来说,绕过addslashes()过滤的方法包括双写、拼接字符串、转义字符、注释和其他SQL关键字。然而,这只是一些常见的方法,具体的绕过方式取决于代码的过滤机制和漏洞点。在实际情况中,我们需要仔细分析过滤规则,不断尝试不同的方法来绕过过滤,以实现成功的注入。重要的是要谨慎处理注入攻击,并采取适当的安全措施来防止此类漏洞的出现。 ### 回答3: 在sqli/Less-34中,代码使用addslashes()函数对用户输入的数据进行过滤,目的是防止SQL注入攻击。addslashes()函数会自动在SQL语句中的特殊字符前添加反斜杠,以避免这些字符被误解为SQL语句的一部分。 然而,根据具体的情况,我们仍然可以绕过addslashes()函数的过滤,实现注入。以下是一种可能的绕过方法: 1. 利用addslashes()函数对'和"的过滤:addslashes()函数可能只会在单引号和双引号前添加一个反斜杠。我们可以利用这一点,使用闭合引号和转义字符,绕过过滤。例如,在输入中使用\'或\",可以使\'或\"不被addslashes()函数识别并过滤掉。这样,我们可以成功闭合前面的引号或语句,继续注入恶意的SQL代码。 尽管我们可以绕过addslashes()函数的过滤,但这不是一种安全的解决方法。最好的方式是使用预处理语句(prepared statements)或使用特定的SQL注入过滤器来防止SQL注入攻击。预处理语句能够有效地将输入数据与SQL语句分离,从而防止恶意注入。SQL注入过滤器能够识别并阻止恶意SQL代码的执行,提供更高的安全性。 无论如何,在编写代码时,应尽量避免手动编写SQL查询语句,并始终保持警惕,及时更新和修复可能存在安全漏洞的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值