考点:php字符串解析漏洞,waf防护方式,php函数的应用
打开靶机,发现是个计算机,输入数字不报错,但如果输入字母:
不返回东西了,不过通过f12可以发现一些信息:
从源码可知,
这个网页有waf防护墙,
url网址是clac.php
查看一下calc.php,发现源码:
这里我抓包了,直接在网页传cala.php也能看到源码,分析源码,过滤了很多符号。
WAF防护:
在又拍云的云安全类别中,WAF防护是其中之一的功能,WAF主要防护的是来自对网站源站的动态数据攻击,可防护的攻击类型包括SQL注入、XSS攻击、CSRF攻击、恶意爬虫、扫描器、远程文件包含等攻击。
简单来说waf就是防火墙,用来保护网页信息,它对其中一种恶意注入方式sql注入的防护方式如下:
1、严格限制Web应用的数据库的操作权限,给此用户提供仅仅能够满足其工作的最低权限,从而最大限度的减少注入攻击对数据库的危害。
2、检查输入的数据是否具有所期望的数据格式,严格限制变量的类型,例如使用regexp包进行一些匹配处理,或者使用strconv包对字符串转化成其他基本类型的数据进行判断。
3、对进入数据库的特殊字符('"\尖括号&*;等)进行转义处理,或编码转换。Go 的text/template包里面的HTMLEscapeString函数可以对字符串进行转义处理。
4、所有的查询语句建议使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中,即不要直接拼接SQL语句。例如使用database/sql里面的查询函数Prepare和Query,或者Exec(query string, args ...interface{})。
5、在应用发布之前建议使用专业的SQL注入检测工具进行检测,以及时修补被发现的SQL注入漏洞。网上有很多这方面的开源工具,例如sqlmap、SQLninja等。
我们尝试给num传参的时候发现只能传数字但不能传字母,那flag肯定无法读取,这个时候有没有发现waf运用了2,加黑部分的防护方法,严格把控输入变量的类型,那我们利用php字符串解析漏洞来强行绕过waf的防护规则。
php字符串解析漏洞:
我们知道PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST。例如:/?foo=bar变成Array([foo] => "bar")。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会转换为Array([news_id] => 42)。如果一个IDS/IPS或WAF中有一条规则是当news_id参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过:
/news.php?%20news[id%00=42"+AND+1=0--
上述PHP语句的参数%20news[id%00的值将存储到$_GET["news_id"]中。
HP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事:
1.删除空白符
2.将某些字符转换为下划线(包括空格)
---摘自大佬博客,讲的超级好,我就不班门弄斧辽利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户
不过解释一下这里的做法吧,我们直接传num会被waf检测,那就在num前加空格:" num"(这里有空格),这样waf就找不到num这个变量了,现在的变量叫“ num”,而不是“num”,但php在解析的时候会先把空格给去掉,这样源码依然正常运行,还上传了非法字符。
这样就能输入字母了,不过因为之前我们查看源码发现很多符号被过滤,比如我们想利用/来进入根目录,但“/”被过滤了,我们无法正常访问,这个时候,用到php函数的利用:
用到的php函数:
chr():chr() 用一个范围在 range(256)内的(就是0~255)整数作参数,返回一个对应的字符。chr(i)中的i可以是十进制或十六进制的数字,返回值是对应的ASCII码。
var_dump():
用于输出变量的相关信息。var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。
scandir() 函数:
返回指定目录中的文件和目录的数组。
查看根目录,/对应的ASCII码为47,所以构造:
? num=print_r(scandir(chr(47)))
发现:
列出的flagg就是我们想找的flag,同样的方法(字母改成对应ASCII值)构造/flagg:
? num=print_r(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
得到flag
拓展:
ASCII码对应值: