PHP字符串格式化特点和漏洞利用点
转载至:
https://www.anquanke.com/post/id/170850
PHP中的格式化字符串函数
在PHP中存在多个字符串格式化函数,分别是printf()
、sprintf()
、vsprintf()
。他们的功能都大同小异。
- printf,
int printf ( string $format [, mixed $args [, mixed $... ]] )
,直接将格式化的结果输出,返回值是int。 - sprintf,
string sprintf ( string $format [, mixed $args [, mixed $... ]] )
,返回格式化字符串的结果 - vsprintf,
string vsprintf ( string $format , array $args )
,与sprintf()
相似,不同之处在于参数是以数组的方式传入。
三者的功能类似,以下仅以sprintf()
来说明常规的格式化字符串的方法。
单个参数格式化的方法
var_dump(sprintf('1%s9','monkey')); # 格式化字符串。结果是1monkey9
var_dump(sprintf('1%d9','456')); # 格式化数字。结果是14569
var_dump(sprintf("1%10s9",'moneky')); # 设置格式化字符串的长度为10,如果长度不足10,则以空格代替。结果是1 moneky9(length=12)
var_dump(sprintf("1%10s9",'many monkeys')); # 设置格式化字符串的长度为10,如果长度超过10,则保持不变。结果是1many monkeys9(length=14)
var_dump(sprintf("1%'^10s9",'monkey')); # 设置格式化字符串的长度为10,如果长度不足10,则以^代替。结果是1^^^^monkey9(length=12)
var_dump(sprintf("1%'^10s9",'monkey')); # 设置格式化字符串的长度为10,如果长度超过10,则保持不变。结果是1many monkeys9(length=14)
多个参数格式化的方法
$num = 5;
$location = 'tree';
echo sprintf('There are %d monkeys in the %s', $num, $location); # 位置对应,
echo sprintf('The %s contains %d monkeys', $location, $num); # 位置对应
echo sprintf('The %2$s contains %1$d monkeys', $num, $location); # 通过%2、%1来申明需要格式化的是第多少个参数,比如%2$s表示的是使用第二个格式化参数即$location进行格式化,同时该参数的类型是字符串类型(s表明了类型)
在格式化中申明的格式化参数类型有几个就说明是存在几个格式化参数,在上面的例子都是两个参数。如果是下方这种:
echo sprintf('The %s contains %d monkeys', 'tree'); # 返回结果为False
则会出现Too few arguments
,因为存在两个格式化参数%s
和%d
但仅仅只是传入了一个变量tree
导致格式化出错返回结果为False,无法进行格式化。
格式化字符串的特性
除了上面的一般用法之外,格式化中的一些怪异的用法常常被人忽略,则这些恰好是漏洞的来源。
字符串padding
常规的padding默认采用的是空格方式进行填充,如果需要使用其他的字符进行填充,则需要以%'[需要填充的字符]10s
格式来表示,如%'#10s
表示以#
填充,%'$10s
表示以$
填充
var_dump(sprintf("1%10s9",'monkey')); # 使用空格进行填充
var_dump(sprintf("1%'#10s9",'monkey')); # 使用#填充,结果是 1####monkey9
var_dump(sprintf("1%'$10s9",'monkey')); # 使用$填充,结果是 1$$$$monkey9
从上面的例子看到,在某些情况下单引号在格式化时会被吞掉,而这就有可能会埋下漏洞的隐患。
字符串按位置格式化
按位置格式化字符串的常规用法
$num = 5;
$location = 'tree';
var_dump(sprintf('The %2$s contains %1$d monkeys', $num, $location));
这种制定参数位置的格式化方法会使用到%2$s
这种格式化的方式表示。其中%2
表示格式化第二个参数,$s
表示需要格式化的参数类型是字符串。如下:
var_dump(sprintf('%1$s-%s', 'monkey')); # 结果是monkey-monkey
因为%1$s
表示格式化第一个字符串,而后面的%s
默认情况下同样格式化的是第一个字符串,所以最终的结果是monkey-monkey
。如果是:
var_dump(sprintf('%2$s-%s', 'monkey1','monkey2')); # 结果是monkey2-monkey1
因为%2$s
格式化第二个字符串,%s
格式化第一个字符串。
下面看一些比较奇怪的写法。首先我们需要知道在sprintf用法中已经说明了可以格式化的类型
如果遇到无法识别的格式化类型呢?如:
var_dump(sprintf('%1$as', 'monkey')); # 结果是s
由于在格式化类型中不存在a
类型,导致格式化失败。此时%1$a
在格式化字符串时无用就直接舍弃,最后得到的就是s
。但是如果我们写成:
var_dump(sprintf('%1$a%s', 'monkey')); # 结果是monkey
因为%1$a%s
中a
为无法识别的类型,则直接舍弃。剩下的%s
可以继续进行格式化得到monkey
那么结论就是%1$[格式化类型]
,如果所声明的格式化类型不存在,则%1$[格式化类型]
会被全部舍弃,留下剩下的字符。
如果在$
接上数字呢?如%1$10s
呢?
var_dump(sprintf('%1$10s', 'monkey')); # 结果是' monkey' (length=10)
此时表示的是格式化字符串的长度,默认使用的是空格进行填充。如果需要使用其他的字符串填充呢?此时格式是%1$'[需要填充的字符]10s
。
var_dump(sprintf("%1$'#10s", 'monkey')); # 结果是 '####monkey' (length=10)
除此之外,还存在一些其他的奇怪的用法,如下:
var_dump(sprintf("%1$'%s", 'monkey')); # 得到的结果就是 monkey
`
按照之前的说法,由于'
是无法识别的类型,所以%1$'
会被舍弃,剩余的%s
进行格式化得到的就是monkey
。可以发现在这种情况下'
已经消失了。假设程序经过过滤得到的字符串是%1$'%s'
,那么就会导致中间的'
被吞掉,如下:
var_dump(sprintf("%1$'%s'", 'monkey')); # 得到的结果是 monkey'
吞掉引号
对上面进行一个简单的总结,除了一些不常见的字符串的格式化用法之外,还存在一些吞掉引号的用法。都是处在字符串padding的情况下。
var_dump(sprintf("1%'#10s9",'monkey')); # 使用#填充,结果是 1####monkey9
var_dump(sprintf("%1$'#10s", 'monkey')); # 结果是 '####monkey' (length=10)
这两种'
被吞掉的情况都有可能会引起漏洞。
漏洞示例
通过一段存在漏洞的代码来说明这种情况
$value1 = $_GET['value1'];
$value2 = $_GET['value2'];
$a = prepare("AND meta_value=%s",$value1);
$b = prepare("SELECT * FROM table WHERE key=%s $a",$value2);
function prepare($query,$args) {
$query = str_replace("'%s'",'%s',$query);
$query = str_replace('"%s"','$s',$query);
$query = preg_replace('|(?<!%)%f|','%F',$query);
$query = preg_replace('|(?<!%)%s|', "'%s'", $query);
return @vsprintf($query,$args);
}
$value1
和$value2
是用户可控,函数prepare()
会去掉格式化字符串%s
的单引号和双引号,同时在最后加上单引号。虽然最后加上了一个'
,但是我们还是有办法能够逃脱这个单引号。利用方式就是通过之前申明字符串填充padding的方式吞掉单引号。
利用%1$’%s
之前已经说过sprintf("%1$'%s", 'monkey')
就可以吞掉其中的'
。那么在本例中,我们可以设置:
$value1 = '1 %1$%s (here sqli payload) --';
$value2 = '_dump';
此时,经过$a = prepare("AND meta_value=%s",$value1);
,得到$a
是AND meta_value='1 %1$%s (here sqli payload) --'
。之后执行$b = prepare("SELECT * FROM table WHERE key=%s $a",$value2);
,其中$value2
是_dump
。下面仔细分析:
经过$query = preg_replace('|(?<!%)%s|', "'%s'", $query)
会将所有的%s
全部变为'%s'
,所以此时得到的$query
是SELECT * FROM table WHERE key='%s' AND meta_value='1 %1$'%s' (here sqli payload) --'
。
此时其中刚好存在有1 %1$'%s
这种形式的格式化字符串,导致其中的%1$'
会被去除,剩下1 %s'
,此时就类似于SELECT * FROM table WHERE key='%s' AND meta_value='1 %s' (here sqli payload) --'
,格式化vsprintf("SELECT * FROM table WHERE key='%s' AND meta_value='1 %s' (here sqli payload) --'",_dump)
刚好闭合了前面的单引号形成SQL注入。得到的结果如下:
方式二
上面利用的是%1$'%s
,即在位置声明时出错导致吞掉单引号的方式,本方式是通过自身引入'
与加入的单引号重合的方式。如:
$query = '1 %s 2';
$query = preg_replace('|(?<!%)%s|', "'%s'", $query); # 得到 1 '%s' 2'
$query = preg_replace('|(?<!%)%s|', "'%s'", $query); # 得到 1 ''%s'' 2
可以发现经过两次相同的过滤,最终导致%s
逃逸出来。而在本题中的$value1
同样是经过了两个的过滤。
所以,我们如果设置
$value1 = ' %s '; # 注意%s 前后的空格
$value2 = array('_dump', '(here sqli payload) --');
经过$a = prepare("AND meta_value=%s",$value1);
得到$a
为AND meta_value=' %s '
。其中$value
是array('_dump', '(here sqli payload) --')
,分析代码$b = prepare("SELECT * FROM table WHERE key=%s $a",$value2);
。
分析执行$query = preg_replace('|(?<!%)%s|', "'%s'", $query);
之前和之后的代码:
执行之前,$query为“
执行之后,$query为SELECT * FROM table WHERE key='%s' AND meta_value=' '%s' '
可以发现所有的%s
全部被左右全被加上了单引号,刚好与之前的单引号进行匹配,导致AND meta_value=' '%s' '
中的%s
逃逸出来。最后的几个就是SELECT * FROM table WHERE key='_dump' AND meta_value=' '(here sqli payload) --' '
。
其他
虽然本篇文章主要讨论的是PHP中的字符串漏洞,但是对于其他语言如(Java/Python)也在这里进行一个简单的讨论。(以下的例子借用的是xiaoxiong文章wordpress 格式化字符串注入中的例子)
Java格式化
StringBuilder sb = new StringBuilder();
Formatter formatter = new Formatter(sb, Locale.US);
formatter.format("%s %s %1$s", "a", "monkey");
System.out.println(formatter);
最后输出的结果是a monkey a
,因为前面两个%s
是按照顺序取,得到的是a
和monkey
,而后面的%1$s
按照位置取,得到的是a
,所以最后的结果是a monkey a
。
如果写为:
StringBuilder sb = new StringBuilder();
Formatter formatter = new Formatter(sb, Locale.US);
formatter.format("%s %s '%2$c %1$s", "a", 39, "c", "d");
System.out.println(formatter);
最后得到的结果是a 39 '' a
,前面两个%s
按照顺序去得到a
和39
,而%1$s
取第一个参数,得到a
。%2$c
取第二个参数,并且将其值作为数字得到其对应的ASCII字符,因为39对应的ASCII字符是'
,所以'%2$c
得到的就是''
。
那么,我们能否借鉴PHP中的思路,吞掉'
呢?
StringBuilder sb = new StringBuilder();
Formatter formatter = new Formatter(sb, Locale.US);
formatter.format("%2$'s", "a", "monkey");
System.out.println(formatter);
程序会出现java.util.UnknownFormatConversionException
,无法进行类型转换的错误,所以利用Java中进行格式化的转换,目前还需要进一步的研究。
Python
def view(request, *args, **kwargs):
template = 'Hello {user}, This is your email: ' + request.GET.get('email')
return HttpResponse(template.format(user=request.user))
poc:
http://localhost:8000/?email={user.groups.model._meta.app_config.module.admin.settings.SECRET_KEY}
http://localhost:8000/?email={user.user_permissions.model._meta.app_config.module.admin.settings.SECRET_KEY}
这个代码是基于Django的环境下的存在漏洞的代码。通过第一次格式化改变了语句结构,第二次格式化进行赋值。由于平时对Django接触得比较少,所以这个代码理解得还不是很透,需要进一步的实践才能够知道。
京亟:补充两篇关于python的字符串格式化漏洞的文章
https://www.anquanke.com/post/id/170620
https://www.leavesongs.com/PENETRATION/python-string-format-vulnerability.html
总结
看似一些正常功能的函数在某些特殊情况下恰好能够为埋下漏洞的隐患,而字符串格式化刚好就是一个这样的例子,也从侧面说明了安全需要猥琐呀。
参考
PHP字符串格式化特点和漏洞利用点的更多相关文章
- 格式化字符串漏洞利用实战之 njctf-decoder
前言 格式化字符串漏洞也是一种比较常见的漏洞利用技术.ctf 中也经常出现. 本文以 njctf 线下赛的一道题为例进行实战. 题目链接:https://gitee.com/hac425/blog_d ...
- Linux环境下常见漏洞利用技术(培训ppt+实例+exp)
记得以前在drops写过一篇文章叫 linux常见漏洞利用技术实践 ,现在还可以找得到(https://woo.49.gs/static/drops/binary-6521.html), 不过当时开始 ...
- Nmap备忘单:从探索到漏洞利用(Part 5)
这是备忘单的最后一部分,在这里主要讲述漏洞评估和渗透测试. 数据库审计 列出数据库名称 nmap -sV --script=mysql-databases 192.168.195.130 上图并没有显 ...
- CTF中做Linux下漏洞利用的一些心得
其实不是很爱搞Linux,但是因为CTF必须要接触一些,漏洞利用方面也是因为CTF基本都是linux的pwn题目. 基本的题目分类,我认为就下面这三种,这也是常见的类型. 下面就分类来说说 0x0.栈 ...
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗
1 基础知识1.1 网络熟悉常见网络协议:https://www.ietf.org/standards/rfcs/1.2 操作系统1.3 编程2 恶意软件分析2.1 分类2.1.1 木马2.1.2 B ...
- python(七)字符串格式化、生成器与迭代器
字符串格式化 Python的字符串格式化有两种方式:百分号方式.format方式 1.百分号的方式 %[(name)][flags][width].[precision]typecode (name) ...
- ewebeditor编辑器ASP/ASPX/PHP/JSP版本漏洞利用总结及解决方法
这个编辑器按脚本分主要有4个版本,ASP/ASPX/PHP/JSP 每个版本都有可以利用的漏洞.判断网站是否使用了eWebEditor查看程序源代码,看看源码中是否存在类似”ewebeditor.as ...
- Nmap备忘单:从探索到漏洞利用 Part1
在侦查过程中,信息收集的初始阶段是扫描. 侦查是什么? 侦查是尽可能多的收集目标网络的信息.从黑客的角度来看,信息收集对攻击非常有帮助,一般来说可以收集到以下信息: 电子邮件.端口号.操作系统.运行的 ...
- Python_Day_5装饰器、字符串格式化、序列化、内置模块、生成器、迭代器之篇
一.装饰器 为什么要用装饰器??? 在实际的开发环境中应遵循开发封闭原则,虽然在这个原则是用的面向对象开发,但也适用于函数式编程,简单地说,它规定已经实现的功能代码不是允许修改的,但是可以被扩展: 封 ...
随机推荐
- SignalR 实时推送消息
业务场景 以前做过一个东西,就是当数据库有数据更新的时候,能够自动更新到前台,那时候signalr还没出现的时候,需要自己实现轮询读库,对于数据库和程序都是比较郁闷的事情.现在利用SignalR解决数 ...
- P4147 玉蟾宫 二维DP 悬线法
题目背景 有一天,小猫rainbow和freda来到了湘西张家界的天门山玉蟾宫,玉蟾宫宫主蓝兔盛情地款待了它们,并赐予它们一片土地. 题目描述 这片土地被分成N*M个格子,每个格子里写着'R'或者'F ...
- Mocha+should+Karma自动化测试教程
Mocha+should+Karma自动化测试教程 一.了解TDD与BDD 首先,为什么我们了解TDD与BDD的是什么意思? 在实际项目中,大部分都是采用BDD的形式进行开发,也就是行为驱动开发. T ...
- LeetCode 709.To Lower Case
Description Implement function ToLowerCase() that has a string parameter str, and returns the same s ...
- (三)ajax请求不同源之nginx反向代理跨域
一.基本原理 nginx是一个高性能的web服务器,常用作反向代理服务器.nginx作为反向代理服务器,就是把http请求转发到另一个或者一些服务器上. 用nginx反向代理实现跨域,是最简单的跨域方 ...
- url传参过程中文字需编码、解码使用
1.链接进行编码跳转:window.location.href = encodeURI(url) 2.获取当前链接进行解码:decodeURI(window.location); 3.获取url中参数 ...
- Everything at Once
Everything at Once As sly as a fox as strong as an ox ♥ sly 英 [slaɪ] 美 [slaɪ] adj. 狡猾的:淘气的:诡密的 比较级 s ...
- c++模板文件,方便调试与运行时间的观察
#define _CRT_SECURE_NO_WARNINGS#include<iostream>#include <vector>#include<algorithm& ...
- 百度分享到修改url
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...
- __x__(15)0906第三天__超链接
HTML5 中的新属性. 属性 值 描述 charset char_encoding HTML5 中不支持.规定被链接文档的字符集. coords coordinates HTML5 中不支持.规定链 ...