PHP ctf addslashes,[红日安全]代码审计Day13 - 特定场合下addslashes函数的绕过

最新推荐文章于 2022-03-15 17:11:38 发布
最新推荐文章于 2022-03-15 17:11:38 发布
阅读量692 收藏
点赞数
文章标签: PHP ctf addslashes

本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。

前言

大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第13篇 代码审计文章:

Day 13 - Turkey Baster

代码如下:

ee7a625710426819ba74d7ba4426082e.png

这是一道典型的用户登录程序,从代码来看,考察的应该是通过 SQL注入 绕过登陆验证。代码 第33行 ,通过 POST 方式传入 user 和 passwd 两个参数,通过 isValid() 来判断登陆是否合法。我们跟进一下 isValid() 这个函数,该函数主要功能代码在 第12行-第22行 ,我们看到 13行 和 14行 调用 sanitizeInput() 针对 user 和 password 进行相关处理。

跟进一下 sanitizeInput() ,主要功能代码在 第24行-第29行 ,这里针对输入的数据调用 addslashes 函数进行处理,然后再针对处理后的内容进行长度的判断,如果长度大于20,就只截取前20个字符。 addslashes 函数定义如下:addslashes — 使用反斜线引用字符串string addslashes ( string $str )

作用:在单引号(')、双引号(")、反斜线(\)与 NUL( NULL 字符)字符之前加上反斜线。

我们来看个例子:

ed7df77fa031765fc3142c4b53424c21.png

那这题已经过滤了单引号,正常情况下是没有注入了,那为什么还能导致注入了,原因实际上出在了 substr 函数,我们先看这个函数的定义:substr — 返回字符串的子串string substr ( string $string , int $start [, int $length ] )

作用:返回字符串 string 由 start 和 length 参数指定的子字符串。

我们来看个例子:

8e0a6f1e203d23d279291183ccb0b058.png

那么再回到这里,我们知道反斜杠可以取消特殊字符的用法,而注入想要通过单引号闭合,在这道题里势必会引入反斜杠。所以我们能否在反斜杠与单引号之间截断掉,只留一个反斜杠呢?答案是可以,我们看个以下这个例子。

0871b9f9aed96414079b8665209e6f08.png

在这个例子中,我们直接使用题目代码中的过滤代码,并且成功在反斜杠和单引号之间截断了,那我们把这个payload带入到题目代码中,拼接一下 第17行-第19行 代码中的sql语句。select count(p) from user u where user = '1234567890123456789\' AND password = '$pass'

这里的sql语句由于反斜杠的原因, user = '1234567890123456789\' 最后这个单引号便失去了它的作用。这里我们让 pass=or 1=1# ,那么最后的sql语句如下:select count(p) from user where user = '1234567890123456789\' AND password = 'or 1=1#'

这时候在此SQL

最低0.47元/天 解锁文章
resend
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql 绕过addslashes_代码审计绕过addslashes总结
weixin_31109967的博客
01-19 1129
if(is_null($_REQUEST['username']) || is_null($_REQUEST['password'])){die();}$link=mysql_connect("localhost","root","root");mysql_query("SET NAMES 'gbk'");mysql_select_db("test",$link);$username=$_REQU...
mysql 绕过addslashes_代码审计Day13 - 特定场合addslashes函数绕过
weixin_34236986的博客
02-07 688
原标题:代码审计Day13 - 特定场合addslashes函数绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
小技巧|addslashes绕过
weixin_30906425的博客
11-26 1536
1:字符编码问题导致绕过 1.1、设置数据库字符为gbk导致宽字节注入 1.2、使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入 2:编码解码导致的绕过 2.1、url解码导致绕过addslashes 2.2、base64解码导致绕过addslashes 2.3、json编码导致绕过addslashes 3:一些特殊情况导致的绕过 ...
addslashes deep php,addslashes()函数绕过
weixin_29799209的博客
03-28 867
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
mysql 多字节编码漏洞_PHP字符编码绕过漏洞--addslashes、mysql_real_escape漏洞
weixin_39912580的博客
02-01 179
在上次活动开发过程中,有个程序写了下面这样的语句:$sName = $_GET['name'];$sName = addslashes($sName);$sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";var_dump($sql);exit();结果扫描工具一扫描,发现问题来了,被扫除了S...
[红日安全]代码审计Day3 - 实例化任意对象漏洞.pdf
09-20
红日安全代码审计Day3 - 实例化任意对象漏洞 本文主要探讨的是PHP代码审计中的一个重要主题:实例化任意对象漏洞。该漏洞通常发生在开发者允许用户输入控制类名或者构造函数参数的情况下,攻击者可能借此执行...
网络安全+CTF+源码审计+O泡易支付V1.zip
11-19
在网络安全领域,CTF(Capture The Flag)是一种流行的学习和竞技方式,它涵盖了各种安全技能,包括源码审计。在这个“网络安全+CTF+源码审计+O泡易支付V1.zip”压缩包中,我们可以推测它包含了一个用于CTF挑战的...
CTF工具之seay源代码审计系统(web).rar
09-16
CTF工具之seay源代码审计系统(web)】是一个专门为网络安全竞赛(CTF,Capture The Flag)设计的源代码审计工具,主要用于Web安全领域。这个工具的主要目的是帮助参赛者或者安全研究人员检测和分析Web应用程序中...
CTF 离线C PHP python 汇编函数查询 chm电子书合集
10-06
本资源集合是一套针对CTF(Capture The Flag)竞赛离线学习的专业电子书籍,主要涵盖了C语言、PHP、Python和汇编语言等关键领域的函数查询。这些书籍以CHM(Compiled Help Manual)格式提供,是一种常见的Windows...
密码爆破---绕过验证码进行登录爆破
04-14
3. 可以被绕过:攻击者可以使用自动化工具来绕过验证码,例如,使用机器学习算法来识别验证码。 绕过验证码的技术 绕过验证码的技术有多种,包括: 1. 使用 OCR 技术:使用 OCR 技术可以识别验证码,例如,使用 ...
PHP addslashes()函数讲解
01-20
PHP addslashes() 函数 实例 在每个双引号(”)前添加反斜杠: <?php $str = addslashes('What does yolo mean?'); echo($str); ?> 定义和用法 addslashes() 函数返回在预定义的字符前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(”) 反斜杠(\) NULL 提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备合适的字符串。 注释:默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行ad
sql注入绕过addslashes函数-宽字节注入
G208_522的博客
03-15 4658
宽字节注入 宽字节注入要求: 1、数据库的编码为GBK 2、addslashes()函数,检测在单引号前加\ addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。 预定义字符是: 单引号(’) 双引号(") 反斜杠(\) NULL 一、单引号探测 http://localhost:8899/sqli-lab/Less-33/index.php?id=1' 这里我们发现我们输入的’直接被转义成\了,在一般情况下,此处是不存在SQL注入漏洞的,不过有一个特例,就是当数据库的编码为G
mysql 绕过addslashes,SQL注入:Bypass addslashes()
weixin_39719749的博客
03-23 1347
上次研究了GBK双字节注入,这次就得想办法用于实战,我们知道在很多时候,代码会对我们的输入进行过滤或者转义,过滤的的话我们想办法绕过就行,而转义,就得另想办法了addslashes()这是PHP中的一个安全函数addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (‘)双引号 (“)反斜杠 (\)NULL语法addslashes(string)参数描述string...
mysql 绕过addslashes_魔术引号、addslashes和mysql_real_escape_string的防御以及绕过
weixin_39598501的博客
01-19 1104
0x00:php内置过滤函数php有内置的函数用来防御***,简单的介绍几个函数。魔术引号当打开时,所有的 '(单引号),"(双引号),\(反斜线)和 NULL 字符都会被自动加上一个反斜线进行转义。这和 addslashes() 作用完全相同。一共有三个魔术引号指令:magic_quotes_gpc 影响到 HTTP 请求数据(GET,POST 和 COOKIE)。不能在运行时改变。在 PHP ...
addslashes
weixin_33698043的博客
09-28 65
默认情况下,PHP 指令 magic_quotes_gpc 为 on,对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。 转载于:...
使用复杂变量绕过addslashes函数实现RCE
silence1_的博客
11-01 1722
使用复杂变量绕过addslashes函数实现RCE addslashes ( string $str ) : string 使用反斜线引用字符串 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(")、反斜线(\)与 NUL(NULL 字符)。 简单的说,就是在传入的字符串的单引号,双引号,反斜线和空字符前加反斜线转义 先看看题目代码: &...
php addslashes 数组,PHP函数漏洞审计之addslashes函数-
weixin_34508682的博客
03-27 657
函数定义addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。(PHP 4, PHP 5, PHP 7)预定义字符是:单引号(’)双引号(”)反斜杠(\)NULL提示:该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。注释:默认地,PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 adds...
ctf】sql注入——宽字节注入
wlllllianqing的博客
09-13 670
宽字节注入 宽字节注入:主要针对GBK编码的注入 基础:了解url转码 例如: 空格 : %20 ’ : %27 # :%23 \ : %5C addslashes() 函数 了解addslashes()函数,发现它会返回在预定义的字符之前添加反斜杠的字符串。 当我们进行注入时使用单引号或双引号进行语句的闭合时,该函数会自动在字符前添加反斜杠将字符转义,导致该字符无法实现作用而导致注入失败。 如何绕过addslashes()函数从而达到注入的效果呢? 方法一
ctf php sql注入,【CTF-Web Learning 1】0x01 SQL注入之宽字节注入
weixin_36335651的博客
03-17 338
0x01 前言准备系统梳理和总结提高这一年所学的关于Web方面东西,如有问题欢迎指点。在计算机中,字符的表示与存储都离不开编码。例如ASCII,utf-8,gbk2312等。通常字符的表示都只需1字节。但也有如gbk2312这种需要2字节来表示的编码格式,这种我们称之为宽字节。所谓宽字节注入,可能存在于以gbk编码存储数据的sql数据库中。在实际站点中已经比较少见(常见于学校远古破站),而且修复方...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值