mysql 绕过addslashes_代码审计Day13 - 特定场合下addslashes函数的绕过

最新推荐文章于 2022-10-08 10:34:54 发布
最新推荐文章于 2022-10-08 10:34:54 发布
阅读量672 收藏 2
点赞数
文章标签: mysql 绕过addslashes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34236986/article/details/113937779
版权
原标题:代码审计Day13 - 特定场合下addslashes函数的绕过前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结...
摘要由CSDN通过智能技术生成

原标题:代码审计Day13 - 特定场合下addslashes函数的绕过

前言

大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是第13篇代码审计文章:

Day 13 - Turkey Baster

代码如下:

e3e0b91b768f4bcb8d0f88be32e88ccb.jpeg

这是一道典型的用户登录程序,从代码来看,考察的应该是通过SQL注入绕过登陆验证。代码第33行,通过POST方式传入user和passwd两个参数,通过isValid()来判断登陆是否合法。我们跟进一下isValid()这个函数,该函数主要功能代码在第12行-第22行,我们看到13行和14行调用sanitizeInput()针对user和password进行相关处理。

跟进一下sanitizeInput(),主要功能代码在第24行-第29行,这里针对输入的数据调用addslashes函数进行处理,然后再针对处理后的内容进行长度的判断,如果长度大于20,就只截取前20个字符。addslashes函数定义如下:

addslashes— 使用反斜线引用字符串

stringaddslashes( string$str)

作用:在单引号(')、双引号(")、反斜线()与 NUL(NULL字符)字符之前加上反斜线。

我们来看个例子:

ec38233bc4824b8cb5ef19b0f8e19b6c.jpeg

那这题已经过滤了单引号,正常情况下是没有注入了,那为什么还能导致注入了,原因实际上出在了substr函数,我们先看这个函数的定义:

substr— 返回字符串的子串

stringsubstr( string$string, int$start[, int$length] )

作用:返回字符串string由start和length参数指定的子字符串。

我们来看个例子:

6b9858e59e21b1a0f55e460ac3de52bf.png

那么再回到这里,我们知道反斜杠可以取消特殊字符的用法,而注入想要通过单引号闭合,在这道题里势必会引入反斜杠。所以我们能否在反斜杠与单引号之间截断掉,只留一个反斜杠呢?答案是可以,我们看个以下这个例子。

f98329a99e7ae5568c071043249025b7.png

在这个例子中,我们直接使用题目代码中的过滤代码,并且成功在反斜杠和单引号之间截断了,那我们把这个payload带入到题目代码中,拼接一下第17行-第19行代码中的sql语句。

selectcount(p) fromuseruwhereuser='1234567890123456789' AND password = '$pass'

这里的sql语句由于反斜杠的原因,user = '1234567890123456789'最后这个单引号便失去了它的作用。这里我们让pass=or 1=1#,那么最后的sql语句如下ÿ

最低0.47元/天 解锁文章
佯真愚
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
addslashes()函数
qq_61988806的博客
12-14 586
它通常用于准备字符串,以防止其中的字符被误解为具有特殊含义的字符。这个函数的主要用途是在构建 SQL 查询语句或其他需要转义特殊字符的上下文中,以防范一些安全问题,比如 SQL 注入。根据上面当id=\\0,传递后为\0通过addslashes()函数变成\\0。这里我们发现通过str_replace对\\0 %00 \' ' 替换为空。这里会匹配\0替换为空最后的值为\在语句中就是\'转义了'我们的值为\\0,但是真正赋值为\0(第一个\为转义符)str_replace()中表示匹配\0(第一个为转义)
使用复杂变量绕过addslashes函数实现RCE
silence1_的博客
11-01 1692
使用复杂变量绕过addslashes函数实现RCE addslashes ( string $str ) : string 使用反斜线引用字符串 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(’)、双引号(")、反斜线(\)与 NUL(NULL 字符)。 简单的说,就是在传入的字符串的单引号,双引号,反斜线和空字符前加反斜线转义 先看看题目代码: &...
addslashes()
MengJing_的博客
04-17 3321
php 深入理解addslashes函数 php addslashes函数对于很多人来说并不陌生,但很大部分人只是了解皮毛,只知道addslashes函数是在特定字符前面加上反斜杠,本文章将带大家深入理解php addslashes函数的使用方法。 phpaddslashes函数的作用是在预定义的字符前面加上反斜杠,这些预定义字符包括: 单引号(') 双引号...
PHP的addslashes 函数详解
铁柱的博客
01-19 4816
一、前言       博主在接受新代码的时候,发现代码中频繁使用addslashes 这个函数,说实话,博主在之前还真没怎么用过这个函数,所以这里总结一下它的大致用法。这类安全性的函数某种意义上也代表了咱们的水平吧,能考虑到这点,并且会用就可以。 二、函数的解释 1、概念 概念请参考该博客:https://
mysql 绕过addslashes_代码审计绕过addslashes总结
weixin_31109967的博客
01-19 1124
if(is_null($_REQUEST['username']) || is_null($_REQUEST['password'])){die();}$link=mysql_connect("localhost","root","root");mysql_query("SET NAMES 'gbk'");mysql_select_db("test",$link);$username=$_REQU...
PHP函数addslashesmysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashesmysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
php mysql_real_escape_string addslashesmysql绑定参数防SQL注入攻击
10-20
主要介绍了php mysql_real_escape_string addslashesmysql绑定参数防SQL注入攻击的相关资料,需要的朋友可以参考下
PHP中addslashesmysql_escape_string的区别分析
10-22
主要介绍了PHP中addslashesmysql_escape_string的区别,简单分析了addslashesmysql_escape_string在使用过程中的区别,具有一定参考借鉴价值,需要的朋友可以参考下
php addslashesmysql_real_escape_string
12-17
在某些情况下,如上述描述中提到的,黑客可以通过使用特定的多字节序列(如0xbf27)来绕过`addslashes()` 的保护,因为它只会对每个字节进行转义,而不是整个字符。因此,对于处理多字节字符串,`addslashes()` 并不...
slilabs靶场记录宽字节绕过(七)
wanan的博客
10-08 828
slilabs靶场记录宽字节绕过(七)
mysql addslashes()函数_addslashes()函数绕过
weixin_35965051的博客
01-19 1602
前言该文章主要描述了addslashes()函数常见的编码绕过的情况2020-01-07天象独行函数addslashes()作用是返回在预定义字符之前添加反斜杠的字符串。预定义字符是单引号(')双引号(")反斜杠(\)NULL。比如下图,这样就造成了得结果是我们无法在注入的过程当中使用单引号(’)。在字符行注入的时候是比较头疼的一件事情。下面我们讨论一下一些情况可以绕过addslashes()函数...
小技巧|addslashes绕过
weixin_30906425的博客
11-26 1530
1:字符编码问题导致绕过 1.1、设置数据库字符为gbk导致宽字节注入 1.2、使用icon,mb_convert_encoding转换字符编码函数导致宽字节注入 2:编码解码导致的绕过 2.1、url解码导致绕过addslashes 2.2、base64解码导致绕过addslashes 2.3、json编码导致绕过addslashes 3:一些特殊情况导致的绕过 ...
mysql 绕过addslashes,SQL注入:Bypass addslashes()
weixin_39719749的博客
03-23 1341
上次研究了GBK双字节注入,这次就得想办法用于实战,我们知道在很多时候,代码会对我们的输入进行过滤或者转义,过滤的的话我们想办法绕过就行,而转义,就得另想办法了addslashes()这是PHP中的一个安全函数addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是:单引号 (‘)双引号 (“)反斜杠 (\)NULL语法addslashes(string)参数描述string...
php的addslashes,PHP addslashes()函数讲解
weixin_42144554的博客
03-29 787
PHP addslashes()函数讲解PHP addslashes() 函数实例在每个双引号(")前添加反斜杠:$str = addslashes('What does "yolo" mean?');echo($str);?>定义和用法addslashes()函数返回在预定义的字符前添加反斜杠的字符串。预定义字符是:单引号(')双引号(")反斜杠(\)NULL提示:该函数可用于为存储在数据...
php的addslashes,PHP addslashes()用法及代码示例
weixin_39800387的博客
03-29 1444
addslashes()函数是PHP中的内置函数,它返回预定义字符前带有反斜杠的字符串。该参数中不包含任何指定的字符。预定义的字符是:单引号(’)双引号(“)反斜杠(\)NULL注意:addslashes()函数不同于addcslashes()函数接受要在其之前添加斜杠的指定字符,但是addslashes()函数在参数中不接受任何字符,而是在某些指定字符之前添加斜杠。用法:addslashes($...
mysql 多字节编码漏洞_PHP字符编码绕过漏洞--addslashesmysql_real_escape漏洞
weixin_39912580的博客
02-01 177
在上次活动开发过程中,有个程序写了下面这样的语句:$sName = $_GET['name'];$sName = addslashes($sName);$sql = "SELECT COUNT(lGid) AS total FROM tbRank WHERE `sName` LIKE '%$sName%';";var_dump($sql);exit();结果扫描工具一扫描,发现问题来了,被扫除了S...
addslashes
songtaiwu的博客
03-06 518
在PHP中,很多时候我们需要对写入数据库的特殊字符进行转义,因为每个数据库都有不同的特殊字符,当数据库遇到这些字符的时候,代表着不同的意 义,比如MYSQL中的单引号('),若不经转义就写入数据库,很容易导致MYSQL出错。很幸运,在PHP中,提供有专门用于转义的内置函数,它就是 addslashes(),下面说下具体用法: 语法: string addslashes(string str); /...
防止sql注入-PHP防SQL注入不要再用addslashes和htmlspecialchars()和addslashes()函数
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
01-09 3万+
A、首先说说htmlspecialchars()和addslashes()函数吧: 在防止被注入攻击时,常会用到两个函数:htmlspecialchars()和addslashes()函数。这两个函数都是对特殊字符进行转义。 1)addslashes()作用及使用 addslashes()通常用于防止sql注入,它可对通过get,post和cookie传递过来的参数的单引号和双引号已经nul...
DVWA-XSS
qq_60848021的博客
06-25 256
1,LOW先使用进行检测可以弹出窗口 代码分析: 直接引用了name参数,并没有做任何的过滤与检查。2,Medium源码分析: 使用str_replace函数将”"标签转换为空。可以使用JS伪协议: 还可以使用双写或者大小写转换,Html事件进行弹窗,这里不一 一 展示了双写:alert(/xss/)大小写转换:alert(/xss/)事件触发:...
完成sqli/Less-34/实验演示,主要给大家讲解如果代码有过滤(bypass addslashes())的情况,怎么绕过过滤实现注入
最新发布
08-12
在学习如何绕过过滤之前,我们需要了解一下 addslashes() 函数的作用是什么。 addslashes() 函数是 PHP 中一个用于转义字符串中的特殊字符的函数,它将字符串中的单引号(')、双引号(")、反斜杠(\)和 NUL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值