由一次CTF引发的学习笔记之PHP的sprintf函数

发表于 | 分类于 | 热度:
本文字数: 2.4k | 阅读时长 ≈ 4 分钟

0x01 前言

周末打了一次LCTF,感觉这次题目出的好难,其中做了Simple blog题的时候,发现了一个神奇的知识点:用php的sprintf函数来绕过mysql_real_escape_string()函数进行sql注入。

PS.在写这篇文章的时候发现都php源码的重要性,在看seebug的文章的时候,发现其对sprintf的$符号的用法一笔带过,对于初学者来说根本无法理解这个符号在sprintf中的作用,幸亏那篇文章有php源码的链接,自己看了看才懂得$符号究竟的用来干什么的,感叹一下果然文档不是万能的,自己读源码才是王道啊。

0x02 赛题复现

这道题最先是一个padding oracle,写脚本跑出来token后就可以进入admin.php了,这里给一下admin.php的代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
error_reporting(0);
session_start();
include('config.php');

if(!$_SESSION['isadmin']){
	die('You are not admin');
}

if(isset($_GET['id'])){
	$id = mysql_real_escape_string($_GET['id']);
	if(isset($_GET['title'])){
		$title = mysql_real_escape_string($_GET['title']);
		$title = sprintf("AND title='%s'", $title);
	}else{
		$title = '';
	}
	$sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
	$result = mysql_query($sql,$con);
	$row = mysql_fetch_array($result);
	if(isset($row['title'])&&isset($row['content'])){
		echo "<h1>".$row['title']."</h1><br>".$row['content'];
		die();
	}else{
		die("This article does not exist.");
	}
}
?>

通过之前得到的token可以绕过第一个if判断,然后往下看推测是一个注入。这里id和title两个参数是我们可控的,但是都用了mysql_real_escape_string()进行转移了,先来看一下mysql_real_escape_string()的功能

因此,正常情况下想要注入的话几乎是不可能的。
但是,这里有个奇特之处在于使用了两个sprintf函数进行拼接,并且第一个sprintf后的结果拼接到了第二个sprintf里面。这里利用了sprintf的一个小特性可以逃逸单引号,具体原理之后说,我们先来看看结果如何

可以看到当and 1=1的时候返回正常,当and 1=2的时候返回错误,因此可以注入!

0x03 漏洞原理

这里我们利用了sprintf的一个padding功能,是的单引号被吃掉了,可以看到php文档中有一个例子如下:

这里的用法就是在格式化字符串中,单引号后面的字符代表着用该字符去进行填充,那么如果能够提前输入

1
%' and 1=1#

如果存在addslashes或者mysql_real_escape_string等之类的过滤,把单引号进行了转义,变成\’,那么其中的反斜杠会被sprintf认为是填充的字符,从而吃掉了反斜杠,达到单引号逃逸的目的。

但是在这道题中,如果用

1
%' and 1=1#

这个的话还是不好用,因为这种方式容易遇到PHP Warning: sprintf(): Too few arguments的报错。

因此还需要sprintf的另一个trick。

如上图,文档中还有一个例子,其中%后面的数字代表着第几个参数,$符号在这里的作用是中止符,用来检测前面有几个数字的,而$符号后面的字母代表着参数类型,s表示stirng类型,因此可以构造

1
%1$'%s'

这里的意思就是,第一个参数,用%进行填充,类型为stirng,那么最后刚好剩余了一个单引号,成功逃逸!
因此,第一个id参数就要输入正常的,在title参数时输入%1$’%即可。
在这道题里就是

1
2
id=3
title=This is admin page%1$' and 1=1#

ok,成功!

0x04 参考

https://paper.seebug.org/386/
https://github.com/php/php-src/blob/c8aa6f3a9a3d2c114d0c5e0c9fdd0a465dbb54a5/ext/standard/formatted_print.c

本文标题:由一次CTF引发的学习笔记之PHP的sprintf函数

文章作者:Pino-HD

发布时间:2018年06月19日 - 19:06

最后更新:2018年06月19日 - 20:06

原始链接:https://pino-hd.github.io/2018/06/19/由一次CTF引发的学习笔记之PHP的sprintf函数/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!