php str replace 原理,因str_replace导致的注入问题总结

最新推荐文章于 2024-05-04 10:37:19 发布
最新推荐文章于 2024-05-04 10:37:19 发布
阅读量671 收藏
点赞数
文章标签: php str replace 原理

研究了下replace的注入安全问题。

一般sql注入的过滤方式就是引用addslashes函数进行过滤。

2d55f9bfb39ad34f33d88540c8db6742.png

他会把注入的单引号转换成\',把双引号转换成\",反斜杠会转换成\\等

写一段php代码:

$x=$_GET['x'];

$id=str_replace(addslashes($_GET['y']),'',addslashes($x));

echo "过滤后:".addslashes($x)."
";

echo "replace替换绕过:".$id."
";

$conn = mysql_connect('127.0.0.1','root','root');//连接mysql数据库

mysql_select_db('test',$conn);//选择$conn连接请求下的test数据库名

$sql = "select * from user1 where id='$id'";//定义sql语句并组合变量id

$result = mysql_query($sql);//执行sql语句并返回给变量result

while($row = mysql_fetch_array($result)){//遍历数组数据并显示

echo "ID".$row['id']."";

echo "用户名".$row['name']."";

}

mysql_close($conn);//关闭数据库连接

echo "

";

echo "当前语句:";

echo $sql;

?>

发现是引用了addslashes函数的:

37f535eea5efe65d57b538d21451eaea.png

一个单引号或者双引号直接被转义,字符串注入到这里基本上gg了。没戏了。

addslashes的问题:

addslashes会把%00转换成\0

addslashes会把单引号(')转换成\'

因为使用了str_replace函数,会替换那么输入%00' 就被addslashes函数自动添加\0\',然后我们匹配0,就变成了\\'再次转换成\',单引号成功逃逸。

echo str_replace("0","","\0\'")

?>

\0\'就是我们输入的%00'

会输出:

f02152088435823b3960eb9d032ccccd.png

那么知道了原理根据上面的php代码构造合适的sql语句绕过addslashes过滤

c76ae13e701f798915b505029d724bcd.png

单引号成功逃逸,这里不能用单引号闭合了,后门闭合会被过滤那么直接:

返回真:

ae9b528cfb8ebdbf0803a6b59f713b02.png

返回假

67aa68301581a3da8851feb7f2d36226.png

那么想出数据就很方便。这里不演示了常规语句就行了。

模拟环境没啥意思,去网上找了个别人的代码审计文章,找到了一个雨牛挖的cmseasy的str_replace绕过注入的真实案例

2014年的漏洞,cmseasy相关版本网上已经找不到了,我改写了个cmseasy,方便测试这个replace注入:

cmseasy环境下载:链接: https://pan.baidu.com/s/1KgHaPxuB3UI36fyx4IbW9w 提取码: 7aj3

存在问题的目录lib/plugins/pay/alipay.php

第87行用了str_replace替换

d526ac056399cd83c22661c027c15a8e.png

替换后的内容赋值给了$order_sn

往下看发现调用了check_money函数,跟踪下这个函数查看内部实现:

uploads/lib/table/pay.php

ff87a1b3ca956900366f84f053dc1d82.png

先是赋值然后调用了getrow函数,跟进去看看:

uploads/lib/inc/table.php

86a1905573919b3d47efd4caebe6f5e6.png

condition没有啥数据库操作后跟下面那个函数,跟踪下rec_select_one:

还在table.php文件下:

6d3678698e4e8b3e7a1b1a6d994a0d76.png

跟下sql_select函数:

8a112916e0aabb220e0edc8f72a3f17a.png

被带入数据库查询:

默认echo $sql;是被注释的,解除注释方便查看sql语句:

因为str_replace的缘故,可以被绕过进行sql注入:

去除注释符,构造poc:

http://localhost/CmsEasy/uploads/index.php/?case=archive&act=respond&code=alipay&trade_status=WAIT_SELLER_SEND_GOODS

POST:out_trade_no=11111%00'&subject=0

sql语句报错存在sql注入

c8978e873064e5712ec92599aa0c0688.png

那么修复方案是什么呢?

回到刚开始的alipay.php

第79行

bd9dd00e91ccc6cca2ac2a76cf1a413b.png

正则匹配下\'

然后再次访问:

直接跳转了不再停留了。

8d40f542750daed38295186bdc7acadb.png

修复方案:

function respond() {

if (!empty($_POST)) {

foreach($_POST as $key =>$data) {

if(preg_match('/(=||\')/', $data)){

return false;

}

$_GET[$key] = $data;

}

}

参考文章:https://wizardforcel.gitbooks.io/php-common-vulnerability/content/23.html

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对脚本之家的支持。

weixin_39961369
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php str_replace的替换漏洞
10-30
php 的函数str_replace替换漏洞
PHP str_replace() 函数解析
nzz_1214
12-17 529
定义和用法: str_replace() 函数以其他字符替换字符串中的一些字符(区分大小写)。 该函数必须遵循下列规则: 如果搜索的字符串是数组,那么它将返回数组。 如果搜索的字符串是数组,那么它将对数组中的每个元素进行查找和替换。 如果同时需要对数组进行查找和替换,并且需要执行替换的元素少于查找到的元素的数量,那么多余元素将用空字符串进行替换 如果查找的是数组,而替换的是字符串,那么...
最新PHP CTF常见考题的绕过技巧_str_replace函数绕过(1)
最新发布
05-04 703
PHP中md5()函数无法处理数组(会返回NULL)==的也可以用数组绕过。
phpstr_replace函数
认知 行动 坚持
02-26 7980
excel表格的内容复制到txt后, 经常会出现一些不可见的字符, 比如tab,   有时候还会与空格混在一起。 此时, 我们经常需要统一处理为空格, 方便后续处理, 方法为: <?php $str = "Hello world"; $str = str_replace("\t", " ", $str); echo $str; ?>        转换成空格成
关于php strtr 和 str_replace 效率的问题
weixin_30861459的博客
05-13 122
在网上看了一些php优化的指南,里面提到:使用strtr 函数 比 str_replace快4倍。 本着探索的精神动手验证。 代码 $string = 'abcdefg'; set_time_limit(300); $start = microtime(true); for ($i = 0; $i < 10000000; $i++) { $str = st...
php 替换 tab,phpstr_replace替换实例讲解
weixin_36180471的博客
03-09 425
在对于字符串的替换上,我们已经学过了不少的方法。但在做练习题的时候,我们会对多个字符串进行替换。从方法的实用性来说,str_replace就非常适合处理多个字符串的替换问题。下面我们就phpstr_replace的概念、语法、参数、返回值进行讲解,然后带来替换的实例分享。1、概念str_replace() 函数以其他字符替换字符串中的一些字符(区分大小写)。该函数区分大小写。请使用 str_ir...
str_replace导致注入问题总结
10-16
标题中的“因str_replace导致注入问题总结”指的是在编程中,尤其是PHP环境中,使用`str_replace`函数处理用户输入时未充分考虑安全问题,从而可能导致SQL注入攻击的情况。描述中提到,这个问题通常与过滤SQL注入...
PHP利用str_replace注入的方法
12-19
php /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace(‘ ’,”,$string); $string = str_replace(‘'’,”,$string); $string = str...
php str_replace替换指定次数的方法详解
10-19
PHP编程语言中,`str_replace`函数是一个非常常用的字符串处理函数,用于在字符串中查找并替换特定的字符或子串。然而,`str_replace`默认的行为是替换所有找到的匹配项,而不限制替换次数。如果你需要限制替换...
深入理解:str_replace & strtr
echojson的专栏
07-03 161
$search = [ 'xyz', '123' ]; $replace = [ '123', '@@@' ]; // $str = '#xyz123#'; //循环替换 $ret1 = str_replace($search, $replace, $str); //#@@@@@@# //对位元素替换 $ret2 = strtr($str, ['xyz' => '123', '123' => '@@@']); //#123@@@# //按 char 位替换
网上找到一个防sql注入函数
wwppp987的博客
07-22 102
//php 批量过滤post,get敏感数据 if (get_magic_quotes_gpc()) { $_GET = stripslashes_array($_GET); $_POST = stripslashes_array($_POST); } function stripslashes_array(&$array) { while(list($key,$var) = each($...
文件包含漏洞之——str_replace函数绕过与——包含截断绕过
温柔小薛的博客
04-08 6387
str_replace函数绕过 实验环境DVWA,安全性medium 有时程序员会使用str_replace函数进行防御,这个函数是极其不安全的,因为可以使用双写绕过替换规则轻松绕过 绕过方法 例如page=hthttp://tp://192.168.0.103/phpinfo.txt时,str_replace函数会将http://删除,于是page=http://192.168.0.103...
php中用斜杠代替问号,PHP 反斜杠如何替换掉?
weixin_42522374的博客
03-10 385
PHP 反斜杠如何替换掉?在php中可以使用“str_replace()”函数将反斜杠替换掉,该函数用于替换字符串中的一些字符,使用方法:将反斜杠传入第1个参数,第2个参数留空,第3个为被替换的字符串,最后接收返回值即可。语法str_replace ( mixed $search , mixed $replace , mixed $subject [, int &$count ] ) : ...
php 替换无法进行,php-str_replace无法遍历替换
weixin_26717681的博客
03-16 342
见如下代码回复讨论(解决方案)不知道楼主说的替换指的是不是把data里面每个字符串中出现过的字符都去arr里面去匹配下,有的换就替换。如果是这样的话 直接这样写就可以了:$data[$k] = str_replace($pattern,$replacment,$v);这句里面$v重新复制了,换成$data[$k]$data[$k] = str_replace($pattern,$replacmen...
php str_replace失败,为什么str_replace返回的数据错误
weixin_42387906的博客
03-12 373
例:替换英文逗号,空格字符,或者中文逗号$str = '正确,联系我们 goodsjob,goodsjob';$reg = array(',',' ',',' );$strs = 'username like %'.str_replace($reg,'%, or username like %',$str).'%';返回的数据是:username like %正确%,%, or username ...
php str_replace的bug
不说不可能
08-03 1501
昨天意外调用了下str_replace接口,最后一个参数传入一个常数,之前以为是表示传入这个常数,php只进行这么多次替换。 结果php部运行了,折腾了一个晚上,最后将svn中代码与修改的代码比较,将修改的内容回退,php运行正常。 奇怪,反复实验,最后确认str_replace传入常数导致无法运行。也奇怪,php不报错,也没有运行时错误。。。。 估计php怒了 更多认知,感悟...
怎么在php里面利用str_replace注入
weixin_30741653的博客
12-28 130
<php /** * 安全过滤函数 * * @param $string * @return string */ function safe_replace($string) { $string = str_replace('%20','',$string); $string = str_replace('%27','',$string...
str_replace()
qq_42572322的博客
07-11 554
str_replace(array(),array(),$info);
PHP每日函数学习之 str_ireplace函数
06-01 624
PHP每日函数学习之str_ireplace函数
php str_replace
09-13
PHP的`str_replace`函数用于在一个字符串中替换指定的文本。它的基本语法如下: ```php str_replace($search, $replace, $subject) ``` - `$search`是要搜索和替换的文本或者文本数组。 - `$replace`是用于替换匹配到的文本的内容或者内容数组。 - `$subject`是被搜索和替换的原始字符串。 下面是一个简单的例子: ```php $string = "Hello, World!"; $newString = str_replace("Hello", "Hi", $string); echo $newString; // 输出 "Hi, World!" ``` 在这个例子中,我们将原始字符串中的"Hello"替换为"Hi",然后打印出新的字符串。 你还可以使用数组来进行多个替换,像这样: ```php $search = array("Hello", "World"); $replace = array("Hi", "PHP"); $string = "Hello, World!"; $newString = str_replace($search, $replace, $string); echo $newString; // 输出 "Hi, PHP!" ``` 这个例子中,我们将原始字符串中的"Hello"替换为"Hi","World"替换为"PHP",然后打印出新的字符串。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值