【SSRF】如何绕过filter_var(), preg_match() 和 parse_url()

最新推荐文章于 2024-07-22 14:31:30 发布
最新推荐文章于 2024-07-22 14:31:30 发布
阅读量893 收藏 3
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/102624470
版权

0x01 前言

转自:Pino_HD



0x02 代码

<?php

    echo "Argument: ".$argv[1]."\n";

    //check if argument is a valid URL
    if(filter_var($argv[1], FILTER_VALIDATE_URL)){

        //parse URL
        $r = parse_url($argv[1]);
        print_r($r);

        //check if host ends with google.com
        if(preg_match('/baidu\.com$/', $r['host'])){

            //get page from URL
            exec('curl -v -s "'.$r['host'].'"', $a);
            print_r($a);
        }else{
            echo "Error: Host not allowed";
        }
    }else{
        echo "Error: Invalid URL";
    }

?>

这段代码里使用了filter_var()函数,preg_match()函数来进行过滤,并用parse_url()函数进行解析,最后利用exec函数执行curl命令进行访问网址。

特别注意parse_url

在这里插入图片描述

图片指出parse_url不会验证url的正确性。


0x03 正文之绕过filter_var和preg_match

许多URL结构保留一些特殊的字符用来表示特殊的含义,这些符号在URL中不同的位置有着其特殊的语义。字符“;”, “/”, “?”, “:”, “@”, “=”“&”是被保留的。除了分层路径中的点段,通用语法将路径段视为不透明。 生成URI的应用程序通常使用段中允许的保留字符来分隔。例如“;”“=”用来分割参数和参数值。逗号也有着类似的作用。

例如,有的结构使用name;v=1.1来表示name的version是1.1,然而还可以使用name,1.1来表示相同的意思。当然对于URL来说,这些保留的符号还是要看URL的算法来表示他们的作用。

例如,如果用于hostname上,URL“http://evil.com;baidu.com”会被curl或者wget这样的工具解析为host:evil.com,querything:baidu.com


运行代码试一下

在这里插入图片描述发现报错了,返回的是Invalid URL,那么因该是filter_var函数没有绕过。filter_var函数可以解析多种协议,我们可以试一下不是http的协议,例如

0://evil.com;baidu.com

在这里插入图片描述
ok,成功绕过filter_varpreg_match函数!但是我们发现它并没有解析我们的url,别担心,我们试试添加一下端口号,因为不是http的话默认端口就不是80

0://evil.com:80;baidu.com:80

在这里插入图片描述解析成功!


当然,我们之前说的逗号也是可以跟分号是一个作用的。
在这里插入图片描述

0x03 正文之绕过parse_url

parse_url函数不是用来验证URL的正确性的,而是尽可能的去解析URL,并把URL分割成特定的部分。在这种情况下,可以使用将URL的部分变为变量从而进行绕过。

0://evil$baidu.com

在这里插入图片描述

当然这是php5的环境,php7在parse_url时会自动解析掉$baidu.com

在这里插入图片描述

这里,在bash中,$var是一个变量,在这个例子中$baidu这个变量未定义是个空,也就是说这个URL是0://evil<空>.com,也就是0://evil.com,成功绕过!

但是这种方法也是有局限性的,因为需要利用bash中的特性,因此只有在php脚本中使用exec()system()等命令执行的函数执行curl或者wget命令时才可以完成。



0x04 正文之data://伪协议和xss利用

与上面的exec不同,这里我们使用的是file_get_content函数,php的测试代码如下:

<?php
  echo "Argument: ".$argv[1]."\n";
  // check if argument is a valid URL
  if(filter_var($argv[1], FILTER_VALIDATE_URL)) {
     // parse URL
     $r = parse_url($argv[1]);
     print_r($r);
     // check if host ends with google.com
     if(preg_match('/baidu\.com$/', $r['host'])) {
        // get page from URL
        $a = file_get_contents($argv[1]);
        echo($a);
     } else {
        echo "Error: Host not allowed";
     }
  } else {
     echo "Error: Invalid URL";
  }
?>

这次我们的任务是在响应主体中修改内容,添加一个“Hacked by Pino_HD”

data://text/plain;base64,SGFja2VkIGJ5IFBpbm8Kbaidu.com

在这里插入图片描述发现parse_url函数把text设置成了host,然后报了Host not allowed错误。但是别担心,我们可以注入一些东西到MIME类型的地方,因为php是不关心MIME类型的。

data://baidu.com/plain;base64,SGFja2VkIGJ5IFBpbm8K

在这里插入图片描述ok,成功在响应包中写入我们想要写的东西。因此我们是可以控制响应体的内容,从而形成xss
在这里插入图片描述

HyyMbb
关注
专栏目录
php parse url ctf,【SSRF】如何绕过filter_var(), preg_match() 和 parse_url()
weixin_34094282的博客
04-14 673
0x01 前言这篇文章是在我看完一片国外安全大佬写的文章后对其进行总结并翻译得到的。0x02 正文之绕过filter_var和preg_match本片文章主要深入一种php ssrf的技术——如何绕过例如filter_var(), preg_match()和parse_url()等函数。本次我进行测试的php版本全部为php v5.6.30php-versionPHP 漏洞代码echo "Argu...
34C3 CTF Web题 extract0r Writeup (软链接实现任意读文件/目录+SSRF绕过内网ip黑名单+Gopher攻击MySQL+zip文件构造)
热门推荐
keyball123的博客
03-28 1万+
extract0r – A web challenge from hxp 34C3 CTF https://ctftime.org/event/544 题目部署 本地搭建: https://github.com/shimmeris/CTF-Web-Challenges/tree/master/SSRF/34c3-2017-extract0r 在34c3-2017-extract0r目录下执...
preg-match绕过
05-19
在 PHP 中,preg_match 函数用于执行正则表达式匹配。为了避免绕过 preg_match 函数的功能限制,通常可以采取以下措施: 过滤用户输入:在将用户输入作为正则表达式模式使用之前,应该对其进行过滤和验证,确保用户输入符合预期,避免恶意输入绕过验证。 限制可接受的输入:在构建正则表达式时,限制可接受的字符范围以及数量,以减少恶意用户绕过的可能性。 谨慎使用/e 修饰符:/e 修饰符允许在匹配时执行 PHP 代码,因此应该谨慎使用以避免安全漏洞。 避免使用用户输入拼接正则表达式:尽量不要将用户输入直接拼接到正则表达式中,以免造成安全风险。 使用辅助函数进行输入验证:编写额外的辅助函数或过滤器来对用户输入进行验证,以防止恶意输入绕过 preg_match 函数。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1035
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
CTF 总结02:preg_match()绕过
最新发布
qq_53058639的博客
07-22 885
链接在此:[PHP: preg_match - Manual](https://www.php.net/manual/zh/function.preg-作为匹配检查的大函数,可以带五个小参数:pattern、subject、matches、flags、offset,其中前两个:pattern、subject是必须要填写的后三个不填写的话会有自动的默认值需要被检查的字符串(通常就是我们传到网页的字符串)~需要被比较的字符串(通常就是被WAF拉黑的字符串)~
preg_match函数,正则匹配绕过
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
preg_match函数绕过
weixin_46196627的博客
07-14 1464
返回pattern的匹配次数,他的值将是0次或1次,应为preg_match()在第一次匹配后将会停止搜索。preg_match_all()不同于此,它会一直搜索subject直到结尾。如果发生错误preg_match返回false。preg_match函数用于执行一个正则表达式匹配。
ssrf 过滤.php,SSRF技巧之如何绕过filter_var( )
weixin_42478292的博客
03-22 444
0x00 前言前几天我读了两篇非常棒的论文:第一篇是发表在blackhat.com上的“A New Era of SSRF ”,讲述的是不同编程语言的SSRF问题;第二篇是由Positive Technology发表的一篇名为“PHP Wrapper” 的论文,它主要讲述的是如何以多种不同的方式使用PHP Wrapper来绕过过滤器以及受过滤的输入(您可以在结尾处找到这两个链接)。在本文中,我将深...
第十七ssrf攻击技术 很全面 服务器端请求伪造
代码审计
03-23 1642
SSRF攻击技术 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站当中间人) 1.1.1 SSRF形成原因 SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,且没有对目标地址做过滤与限制。比如从指定URL地址获取网页文本内容,加载指定地址的图片,文档,等等。 首先
解决preg_match匹配过多字符长度的限制的思路分析
10-27
今天在写采集程序的时候,使用到了preg_match,但是有几个页面始终采集不下来。反复看了N遍的正则,没有发现有问题。于是开始怀疑preg_match是否对匹配的字符串有长度限制
XCTF 高校战“疫”网络安全分享赛 WEB_WP
qq_40648358的博客
03-10 2614
文章目录XCTF 高校战“疫”网络安全分享赛easy_trick_gzmtuhackmefmkqPHP-UAFnwebsqlcheckin XCTF 高校战“疫”网络安全分享赛 easy_trick_gzmtu 首先说一下这个题的脑洞确实强 打开题目后,是一个好看的博客,源码里提示?time=Y或者?time=2020 测试得存在盲注的,但是当构造payload的时候,一直是500,猜测是...
php危险函数文章总结(一)
qq975353472的博客
11-14 220
php危险函数文章总结(一) 因为被分配的任务是总结文章,所以就对一篇文章深深的研究了一下,以下基本都是对该下的文章的总结。 原文在这里 in_array() in_array :(PHP 4, PHP 5, PHP 7) 功能 :检查数组中是否存在某个值 定义 : bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 在 $haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 T
SSRF绕过filter_var(),preg_match()和parse_url()
weixin_30361641的博客
04-02 247
1.利用curl的变量解释符$ php版本 利用代码 /*ssrf.php*/<?php echo "Argument: ".$argv[1]."n"; // check if argument is a valid URL if(filter_var($argv[1], FILTER_VALIDATE_URL)) { // parse U...
SSRF和XSS-filter_var(), preg_match() 和 parse_url()绕过学习
weixin_30762087的博客
07-06 214
0x01:url标准的灵活性导致绕过filter_varparse_url进行ssrf filter_var() (PHP 5 >= 5.2.0, PHP 7) filter_var — 使用特定的过滤器过滤一个变量 filter_var()函数对于http://evil.com;google.com会返回false也就是认为url格式错误, 但是对于以下三个返回True...
SSRF-服务端请求伪造
weixin_42739903的博客
01-06 313
SSRF漏洞介绍和一些例题
命令执行漏洞的利用以及绕过方式
cosmoslin的博客
09-14 1973
命令执行漏洞的利用以及绕过方式 1 preg_match()函数 preg_match 函数用于执行一个正则表达式匹配。 int preg_match ( string $pattern , string $subject [, array &$matches [, int $flags = 0 [, int $offset = 0 ]]] ) 参数 说明 $pattern 要搜索的模式,字符串形式 $subject 要搜索检测的目标字符串 $matches 如果提供了参数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值