addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。

(PHP 4, PHP 5, PHP 7)

预定义字符是：

单引号（'）

双引号（"）

反斜杠（\）

NULL

提示：该函数可用于为存储在数据库中的字符串以及数据库查询语句准备字符串。

注释：默认地，PHP 对所有的 GET、POST 和 COOKIE 数据自动运行 addslashes()。所以您不应对已转义过的字符串使用 addslashes()，因为这样会导致双层转义。遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。

在每个双引号（"）前添加反斜杠

以一个用户登录程序为例，考察通过SQL注入绕过登录验证，代码如下：

      第29行通过POST方式传入user和passwd两个参数，通过isValid函数判断是否合法。isValid函数主要功能代码在第10~20行，可以看到第11~12行调用sanitizeInput方法对user和passwd进行相关处理。

      sanitizeInput主要功能代码在第22~25行，这里针对输入的数据调用addslashes函数进行处理，然后对处理后的内容进行长度判断，长度大于20则只截取前20个字符。

      这道题已经过滤了单引号，正常情况是没有注入了，为什么还能导致注入呢？原因实际上出在第24行substr函数这里，关于substr函数的定义查看相关知识第二条。

      注：substr中的参数0代表从位置为0的字符开始计算，2代表返回的字符串将从0（start）处开始最多包括2（length）个字符。

      再回到题目中，我们知道反斜杠可以取消特殊字符的用法，而注入想要通过单引号闭合，必然会引入反斜杠。

      将官方提供的payload带入题目中，拼接第15~17行代码中的SQL语句：

$lp['wd']变量位置存在字符串拼接，存在SQL注入。

2.   但是这个CMS具有一些通用的注入防护，首先在\inc\module\vod.php文件中：

这部分代码的作用是对GET、POST、REQUEST接收到的参数进行addslashes转义处理。

4.   跟进\inc\module\vod.php文件中的chkSql函数，具体位置在\inc\common\360_safe3.php文件中：

在第34~38行针对接收到的变量进行循环的urldecode（即url解码），然后在第41行使用StopAttack函数对解码后的数据进行处理，将处理后的数据通过htmlEncode方法进行HTML编码，然后返回编码后的值。  

跟进StopAttack函数：

第18~24行调用正则进行处理，相关的正则表达式是$ArrFiltReq，这里的$ArrFiltReq变量就是前面传入的$getfilter（StopAttack函数的第三个参数），语句变成：preg_match("/". $getfilter."/is",1)

跟进$getfilter变量：

这段代码的功能就是检测GET、POST、COOKIE中的恶意数据。

5.   在chkSql函数最后有串代码是return htmlEncode($s)，跟进一下htmlEncode函数，在\inc\common\function.php文件中：

这段代码的功能是针对&、'、空格、"、TAB、回车、换行、大小于号等符号进行实体编码转换，但是这里没有针对其他的空白字符和反斜杠进行处理。

6.   注入点是\inc\common\template.php，就是分析的第一条。我们继续看看$lp['wd']的值是怎么获取的：

当P["wd"]不为空时，$lp['wd']从P["wd"]中获取数据。

7.   根据之前的分析，在\inc\module\vod.php文件中存在这样一行代码：$tpl->P["wd"] = $wd;（见分析的第二条），而wd可以从REQUEST中获取到，所以这里的wd实际上是可控的。

1.   在前面的分析中，我们知道html Encode针对&、’、空格、”、TAB、回车、换行、大小于号等进行了实体编码转换，但是这里的注入类型是字符型注入，需要引入单引号来进行闭合。而htmlEncode函数对单引号进行了处理，因此我们需要换个思路。

2.   $lp['wd']参数可以控制SQL语句中的两个位置，可以通过引入反斜杠进行单引号闭合，而源文件调用了addslashes函数，会对反斜杠进行转义处理。但是这里对用户请求的参数又会进行url解码（见分析的第四条），因此可以使用双url编码绕过addslashes函数。

3.   Attack机器使用浏览器访问http://10.1.1.100/maccms-8.0/index.php?m=vod-search并用burpsuite抓包，修改请求包中的内容，go之后会看到response处的响应：

      Payload：wd=))||if((select%0b(select(m_name)''from(mac_manager))regexp(0x5e61)),('sleep'(3)),0)#%25%35%63

注：%25%35%63经过两次url解码后为\

4.   Payload传到程序里，经过拼接后的数据库语句如下所示：

在做题之前，先了解一些需要用到的基础知识：

1.   对于传入的非法$_GET数组参数名，PHP会将其替换成下划线。

2.   当使用HPP（HTTP参数污染）传入多个相同参数给服务器时，PHP只会接收到后者的值：

解题：

1.   Attack机器使用浏览器访问http://10.1.1.100/maccms-8.0/ctf/index.php开始解题。

2.   查看源码，第一个WAF在第26~28行，采用了dowith_sql函数，其主要功能代码在第17~24行：

如果$_REQUEST数组中的数据存在select|insert|update|delete等敏感关键字或字符，则直接exit()；如果不存在则原字符串返回。

3.   第二个WAF源码：

通过$_SERVER['REQUEST_URI']的方式获取参数，然后使用explode函数针对&进行分割，获取每个参数的参数名和参数值，最后针对每个参数值调用dhtmlspecialchars函数进行过滤。

4.   跟进dhtmlspecialchars函数：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)