PS:PHP中绕过GPC的情况有很多,本文仅仅是总结了一些比较常见的,而且写的很浅[因为本人水平有限],欢迎大家积极拍砖:)
1.通过数据库(文本)中转
通过数据库中转:
[注意存入数据库和select出的数据]
用户输入===>gpc\addslashes()==========>数据库=========>执行sql语句\include\写入缓存文件
insert\update select
这个问题是程序员容易忽略的,往往只是依靠gpc或addslashes函数对用户直接输入的数据进行处理,这样数据中的'"等都会被\转义,这样就能正确的执行sql语句,有效防止注入攻击了。但存入数据库的数据呢?在执行完sql语句存入数据库的是经过gpc处理前的原始数据,那么当程序再select出的就是受污染的数据了,如果把select出的数据再执行sql语句,那么就触发了sqlinj,如果直接写入缓存文件的话就有可能直接拿shell了:)
通过文本中转:
用户输入===>gpc\addslashes()===>写入文本文件===>include===>再次写入文本文件\执行sql语句
这个和通过数据库中转大致是一样的,对于写文件的操作如果处理不当是有可能被攻击者直接拿shell的,我们来看看php168的一个代码片段:
function login_logs($username,$password) {
global $timestamp,$onlineip;
$logdb[]="$username\t$password\t$timestamp\t$onlineip";
@include(PHP168_PATH."cache/adminlogin_logs.php");
$writefile="<?php \r\n";
$jj=0;
foreach($logdb AS $key=>$value) {
$jj++;
$writefile.="\$logdb[]=\"$value\";\r\n";
if($jj>200) {
break;
}
}
write_file(PHP168_PATH."cache/adminlogin_logs.php",$writefile);
}
php168在登录后台时如果输入的用户名或密码有误就会执行这个login_logs函数把登录者的信息记录在adminlogin_logs.php,如果用户输入的$username的数据是“";eval($_POST[cmd]); //”,前面的"被闭合了,成功的写入了shell。但如果gpc为on的话,"会被转义成\",无法利用了。但注意这里会先包含adminlogin_logs.php,并循环数组把数据再次写入adminlogin_logs.php,要知道,这里的\仅仅是转义字符,所以include后$logdb依旧是受污染的原数据,再次写入文件时"就起作用了,成功写入了shell。
2.通过编码
UTF-7(+ACc-)===>gpc\addslashes()===>mb_convert_encoding()===>UTF-8(')
这个问题的具体例子可见:http://superhei.blogbus.com/logs/4255503.html
0xbf27===>gpc\addslashes()===>0xbf5c27===>执行sql语句[数据库编码支持多字节]
PHP里的函数大多是把字符串作为单字节进行处理的,那么如果数据库编码支持多字节呢,我们可以利用这个特性引入',而这里,gpc不但没起作用还帮了我们的忙:)
详见:http://shiflett.org/blog/2006/jan/addsl … ape-string
用户输入(经过urlencode\rawurlencode\base64_encode等函数处理)===>gpc\addslashes()===>urldecode\rawurldecode\base64_decode等函数===>执行SQL语句\include
通过二次编码绕过gpc\addslashes,比如'的URL编码二次编码%25%27。
3.一些函数的错误处理
看看下面的函数处理的字符串:
substr($_GET['a'], 1);
假设输入的$_GET['a']为'haha,经过gpc\addslashes()会变为\'haha,再经过substr处理后又变回了'haha.
处理字符串的函数有很多,往往程序员的一个不注意就能给我们带来很多有意思的利用:)
4.字符串和数组
看看下面的代码:
$a = $_GET['a'];
echo $a[1];
输入$_GET['a']为'haha,经过gpc\addslashes()会变为\'haha,看看手册里对字符串的一段描述:
字符串中的字符可以通过在字符串之后用花括号指定所要字符从零开始的偏移量来访问和修改
这里也可以用方括号替代花括号[这是为了兼容较早的PHP版本,其实就是把字符串当数组处理的],有了这个特性我们能做很多事啊,比如这里$a[1]的输出就是'了:),当然具体大的利用要看具体的代码。
5.PHP自身的一些缺陷
PHP5的GPC对$_SERVER的忽略
见剑心的《PHP5绕过缺陷》
PHP某些版本对%00的错误转义
Python开源框架
info:更多Django信息url:https://www.oschina.net/p/djangodetail: Django 是 Python 编程语言驱动的一个开源模型-视图-控制器(MVC) ...
php 基础代码大全(不断完善中)
下面是基础的PHP的代码,不断完善中~ //语法错误(syntax error)在语法分析阶段,源代码并未被执行,故不会有任何输出. /* [命名规则] */ 常量名 类常量建议全大写,单词间用下划线 ...
Main.C中 IO口,中断及串口初始化
void Port_Init(void) { //CAUTION:Follow the configuration order for setting the ports. // 1) setting ...
PHP中magic_quotes_gpc动态关闭无效的问题
昨天浏览线上项目,发现了一个问题:部分文本输出中的引号前多了一道反斜杠,比如: 引号内容多了\"反斜杠\" 单从页面展现的结果来看,猜测应该是PHP中的magic_quotes_g ...
Linux内核中的GPIO系统之(3):pin controller driver代码分析
一.前言 对于一个嵌入式软件工程师,我们的软件模块经常和硬件打交道,pin control subsystem也不例外,被它驱动的硬件叫做pin controller(一般ARM soc的datash ...
PHP中 magic_quotes_gpc 和 magic_quotes_runtime 区别及其反斜线转义问题
php中关于反斜线转义: php中数据的魔法引用函数 magic_quotes_gpc 或 magic_quotes_runtime 设置为on时,当数据遇到 单引号' 和 双引号" ...
Asp.Net中的消息处理---MSMQ系列学习(一)
刚刚毕业一年,比较浮躁,上次面试被问到消息队列,觉得非常的惭愧因为不知道,所以下定决心一定要学会使用它.以前只是听说过有这么个东西,要说是什么,在什么场景下使用却是无从知晓,因为自己也确实没有在项目中 ...
Quartz 2D官方文档翻译(持续更新中)
转换 核心绘图模型定义了两个完全独立的坐标空间:用户空间,一个是代表文档页,和设备空间,另外一个代表本机设备的分辨率.用户空间坐标是与设备空间中像素分辨率无关的浮点数字.当你想要打印或者显示你的文档 ...
.NET中 类型,对象,线程栈,托管堆在运行时的关系
.NET中 类型,对象,线程栈,托管堆在运行时的关系 The Relationship at Run Time between Types,Objects,A Thread's Stack,and T ...
随机推荐
FreeMark学习(三)
沉淀的心 freemarker学习笔记--设计指导 中存放所有freemaker的内容,之外的内容全部原样输出. 是函数调用两个定界 ...
【原创】Kakfa metrics包源代码分析
这个包主要是与Kafka度量相关的. 一.KafkaTimer.scala 对代码块的运行进行计时.仅提供一个方法: timer——在运行传入函数f的同时为期计时 二.KafkaMetricsConf ...
POJ 2406:Power Strings
Power Strings Time Limit: 3000MS Memory Limit: 65536K Total Submissions: 41252 Accepted: 17152 D ...
jquery学习之旅
在jQuery中,css()方法的功能是设置或获取元素的某项样式属性. $.css("font-weight","bold& ...
Redis -->; 为redis分配新的端口
为redis分配新的端口 为redis分配一个8888端口,操作步骤如下:1.$REDIS_HOME/redis.conf重新复制一份,重命名为redis8888.conf.2.打开redis8888 ...
设置如何远程连接mysql数据库
安装好mysql5.6.37后,默认情况下,只允许本地登录,禁止远程登录. 可以现在本地安装好连接工具,比如sqlyog或者navicat 登陆后,切换至mysql数据库 执行下面2条语句 '; FL ...
随机IP
function rand_ip(){ $ip_longs = array( array('607649792', '608174079'), //36.56.0.0-36.63.255 ...
Python批量修改寄存器的值
在写代码过程中,我们修改代码中寄存器的值,但是有时寄存器的数据较多,手动修改容易出现错误而且花费的时间长 这是一段寄存器的配置值: 0x00, 0x34 0x35, 0x25 0x10, 0xd4 ...
python自学第12天 模块
json , pickle模块 json,用于字符串和python数据类型间进行转换 pickle,用于python特有的类型和python数据类型间的进行转换 shelve 模块 是一个简单的k,v ...
使用 FreeCAD 打开 KiCad 用于制作外壳
使用 FreeCAD 打开 KiCad 用于制作外壳 先看导入后的结果. 步骤: 安装 FreeCAD 安装 KiCad StepUp Mod Addon 重启 FreeCAD(非常重要,不重启不生效 ...