filter_var函数缺陷(原理+实践)

最新推荐文章于 2024-03-24 13:38:07 发布
最新推荐文章于 2024-03-24 13:38:07 发布
阅读量1.1k 收藏 1
点赞数 3
分类专栏: 代码审计 文章标签: ide 前端 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38850916/article/details/121223059
版权

函数缺陷原理

先看一段代码

这段代码的逻辑大概是这个样子:

这个代码的类中有render()方法,其中render方法在index.html网页上输出了一个链接,这个过程是通过模板实现的,模板首先通过了escape方法进行过滤,其中链接的参数是通过getNexSlideUrl()获得的,往上看这个函数,这个函数是通过get方法获得一个参数然后通过filter_var()函数进行过滤作为函数的返回值。

escape方法

其中escape方法的原理是用htmlspecialchars()实现的

htmlspecialchars  :(PHP 4, PHP 5, PHP 7)

功能 :将特殊字符转换为 HTML 实体

定义 :string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string$encoding = ini_get("default_charset") [, bool $double_encode = TRUE ]]] )

& (& 符号)  ===============  &
" (双引号)  ===============  "
' (单引号)  ===============  '
< (小于号)  ===============  &lt;
> (大于号)  ===============  &gt;

filter_var 函数

filter_var 函数来过滤 nextSlide 变量,且用了 FILTER_VALIDATE_URL 过滤器来判断是否是一个合法的url,具体的 filter_var 定义如下:

filter_var : (PHP 5 >= 5.2.0, PHP 7)

功能 :使用特定的过滤器过滤一个变量

定义mixed filter_var ( mixed $variable [, int $filter = FILTER_DEFAULT [, mixed $options ]] )

demo

为了能更清晰的看清楚代码逻辑,下面写一个demo

<?php
$url = filter_var($_GET['url'],FILTER_VALIDATE_URL);
var_dump($url);
echo "<br>";
$url = htmlspecialchars($url);
//$url=urldecode($url);
var_dump($url);
echo "<br>";
//$url=urldecode($url);
echo "<a href='$url'>Next slide</a>";
?>

那么针对这两个函数的过滤我们采用JavaScript伪协议进行绕过

payload:

?url=javascript://comment%250aalert(1)

其中//在javascrpt里面是换行符,url传入后端的时候会被第一次url解码,此时%25被解码成%,和后面0a拼接成%0a,当点击链接的时候,会进行第二次url解码,其中%0a会被解码成换行符,alert(1)就被换到了下一行,逃过了注释符号,也被浏览器解析。

实战利用

环境搭建:Anchor 0.9.2

 在该版本中,当用户访问一个不存在的URL链接时,程序会调用404模板,而这个模板则存在XSS漏洞,具体代码如下:

//anchor-cms-0.9.2\themes\default\404.php
<?php theme_include('header'); ?>

	<section class="content wrap">
		<h1>Page not found</h1>

		<p>Unfortunately, the page <code>/<?php echo current_url(); ?></code> could not be found. Your best bet is either to try the <a href="<?php echo base_url(); ?>">homepage</a>, try <a href="#search">searching</a>, or go and cry in a corner (although I don’t recommend the latter).</p>
	</section>

<?php theme_include('footer'); ?>

然后跟进一下current_url()函数

//anchor-cms-0.9.2\anchor\functions\helpers.php
function current_url() {
	return Uri::current();
}

然后跟进一下Uri类的current()函数

//anchor-cms-0.9.2\system\uri.php
class Uri {

	public static function current() {
		if(is_null(static::$current)) static::$current = static::detect();

		return static::$current;
	}

}

 然后跟进一下detect()函数

	public static function detect() {
		// create a server object from global
		$server = new Server($_SERVER);

		$try = array('REQUEST_URI', 'PATH_INFO', 'ORIG_PATH_INFO');

		foreach($try as $method) {

			// make sure the server var exists and is not empty
			if($server->has($method) and $uri = $server->get($method)) {

				// apply a string filter and make sure we still have somthing left
				if($uri = filter_var($uri, FILTER_SANITIZE_URL)) {

					// make sure the uri is not malformed and return the pathname
					if($uri = parse_url($uri, PHP_URL_PATH)) {
						return static::format($uri, $server);
					}

					// woah jackie, we found a bad'n
					throw new ErrorException('Malformed URI');
				}
			}
		}

		throw new OverflowException('Uri was not detected. Make sure the REQUEST_URI is set.');
	}

该方法会获取 $_SERVER 数组中的 'REQUEST_URI' 、'PATH_INFO', 、'ORIG_PATH_INFO' 三个键的值(下图第3-4行代码),如果存在其中的某一个键,并且符合 filter_var($uri, FILTER_SANITIZE_URL)parse_url($uri, PHP_URL_PATH) ,则直接将 $uri 传入 static::format 方法。

$_SERVER["REQUEST_URI"]函数

预定义服务器变量的一种,所有$_SERVER开头的都叫做预定义服务器变量 REQUEST_URI的作用是取得当前URI,也就是除域名外后面的完整的地址路径

例如。当前页面是http://www.zixueku.com/plus/search.php?kwtype=0&keyword=php&searchtype=titlekeyword

echo $_SERVER["REQUEST_URI"];

结果就为:plus/search.php?kwtype=0&keyword=php&searchtype=titlekeyword

$_SERVER["PATH_INFO"]函数

http://www.test.com/index.php/foo/bar.html?c=index&m=search
我们可以得到 $_SERVER['PATH_INFO'] = ‘/foo/bar.html’

跟进format方法

public static function format($uri, $server) {
		// Remove all characters except letters,
		// digits and $-_.+!*'(),{}|\\^~[]`<>#%";/?:@&=.
		$uri = filter_var(rawurldecode($uri), FILTER_SANITIZE_URL);

		// remove script path/name
		$uri = static::remove_script_name($uri, $server);

		// remove the relative uri
		$uri = static::remove_relative_uri($uri);

		// return argument if not empty or return a single slash
		return trim($uri, '/') ?: '/';
	}

过滤函数解释 

rawurldecode函数

(PHP 4, PHP 5, PHP 7, PHP 8)

rawurldecode — 对已编码的 URL 字符串进行解码

说明

rawurldecode(string $str): string

返回字符串,此字符串中百分号(%)后跟两位十六进制数的序列都将被替换成原义字符。

	public static function remove($value, $uri) {
		// make sure our search value is a non-empty string
		if(is_string($value) and strlen($value)) {
			// if the search value is at the start sub it out
			if(strpos($uri, $value) === 0) {
				$uri = substr($uri, strlen($value));
			}
		}

		return $uri;
	}


	public static function remove_script_name($uri, $server) {
		return static::remove($server->get('SCRIPT_NAME'), $uri);
	}

	/
	public static function remove_relative_uri($uri) {
		// remove base url
		if($base = Config::app('url')) {
			$uri = static::remove(rtrim($base, '/'), $uri);
		}

		// remove index
		if($index = Config::app('index')) {
			$uri = static::remove('/' . $index, $uri);
		}

		return $uri;
	}

没有针对XSS攻击进行过滤,导致攻击十分容易,我们来看看XSS攻击具体是如何进行的。 

http://localhost/anchor/index.php/<script>alert('www.sec-redclub.com')</script> 。根据上面的分析,当我们访问这个并不存在的链接时,程序会调用404模板页面,然后调用 current_url 函数来获取当前用户访问的文件名,也就是最后一个 / 符号后面的内容,所以最终payload里的 <script>alert('www.sec-redclub.com')</script> 部分会嵌入到 <code> 标签中,造成XSS攻击

filter_var函数缺陷(CTF例题,附源码)

参考资料

先知社区-红日团队 

Le叶a子f
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP filter_var() 函数 Filter 函数
12-18
此外,`filter_var_array()` 函数是 `filter_var` 的扩展版本,它允许同时对多个变量进行过滤和验证,方便批量处理数据。 总结来说,`filter_var()` 是 PHP 中一个强大的数据过滤和验证工具,其丰富的过滤器选项...
php filter var,PHP filter_var()函数
weixin_33245968的博客
03-10 443
PHP中,filter_var()函数会使用指定的过滤器来过滤变量;它可以过滤用户传递来的数据。PHP filter_var()函数filter_var()函数使用指定的过滤器来过滤变量;它可用于验证和过滤数据。基本语法filter_var(var,filtername,options)参数:filter_var()函数接受三个参数var:表示要过滤的变量,不可省略(必填参数)。filterna...
PHPfilter_var()函数是干什么的?底层原理是什么?
长风破浪会有时的博客
09-04 286
这些底层函数使用预定义的过滤器类型和选项来检查输入数据是否符合指定的格式和规则,并返回过滤后的结果或验证结果。函数是一个用于过滤和验证数据的内置函数。它可以根据给定的过滤器类型和选项对数据进行过滤和验证,并返回过滤后的结果或验证结果。参数是指定的过滤器类型,可以是预定义的过滤器类型或自定义的回调函数;参数是需要过滤或验证的数据,可以是字符串、数组或对象;参数是指定的过滤器选项,可以是可选的数组参数。函数通过调用这些底层函数来实现数据过滤和验证。函数的底层原理是通过调用C语言实现的底层函数
php filter_var 正则,PHP filter_var() 函数 Filter 函数
weixin_39620334的博客
03-10 177
php 里面 filter 函数是一个函数系列的统称,filter 系列函数里面包括 filter_var 函数filter 系列函数PHP 核心的组成部分。无需安装即可使用这些函数。他主要用于对来自非安全来源的数据(比如用户输入)进行验证和过滤。而这里面 filter_var() 函数则主要是通过指定的过滤器来过滤变量。PHP Filter 函数PHP:指示支持该函数的最早的 PHP 版本...
filter_var() 函数
冷月醉雪的博客
03-04 941
查看更多 https://www.yuque.com/docs/share/14d8d954-d003-4cd7-832d-9d0910ed036e
php使用filter_var函数判断邮箱,url,ip格式示例
10-16
在本文中,我们将深入探讨 `filter_var` 函数如何用于判断邮箱、URL 和 IP 地址的格式。 ### filter_var 函数的语法 `filter_var` 的基本语法如下: ```php filter_var($variable, $filter, $options = null); ``...
PHP过滤器 filter_has_var() 函数用法实例分析
10-15
使用`filter_has_var()`函数配合`filter_input()`或`filter_input_array()`函数,可以在处理用户输入时构建强大的数据验证流程。`filter_input()`函数用于获取并过滤指定类型的变量,而`filter_input_array()`则可以...
python 变量名 递增_一个评分卡的python包
weixin_32694271的博客
01-02 1168
终于要开始烧萝卜了 哇哈哈激动的心 颤抖的手, 就和我自己做饭一样激动呢.听说评分卡已经有两个python包 scorecardpy和toad, 我要去试玩一下scorecardpy, 顺便记录一下 我的试玩过程. 我觉得评分卡不仅用于信贷风险评分, 所有二分类的需要量化的数据质量很好又要求很强解释性的问题都可以用评分卡, 所以我觉得它很强大的.https://pypi.org/pr...
php开启filtervar_PHP函数filter_var的使用
weixin_39606137的博客
12-21 426
一、概述PHP中的filter_varfilter_var_array函数,主要是做来做验证的。提到这两个函数,就需要了解一下PHP的过滤器。如下:There are two main types of filtering: validationand sanitization.Validationis used to validate or check if the data meets ce...
filter函数的用法
热门推荐
mzp520lf的博客
10-24 1万+
filter函数的用法
代码审计——filter_var函数
negnegil的博客
06-11 1201
这里写目录标题红日安全代码审计——day2源码分析linux下的利用windows下的利用 红日安全代码审计——day2 原项目地址: https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day2/files/README.md 本文是对day2课后习题的解题及学习 // index.php <?php $url = $_GET['url']; if(isset($url) && filter_var($url,
php 过滤url_php系统自带url验证函数之过滤器FILTER_VALIDATE_URL
weixin_42349182的博客
03-09 1103
我们经常用一些正则来验证url,但是php自带了一个类似的函数filter_var函数用法:参数标志:FILTER_FLAG_SCHEME_REQUIRED – 要求 URL 是 RFC 兼容 URL。(比如:http://example)FILTER_FLAG_HOST_REQUIRED – 要求 URL 包含主机名(http://www.example.com)FILTER_FLAG_PAT...
红日安全代码审计Day2 - filter_var函数缺陷详解
qq_45951598的博客
11-30 479
这里写目录标题Day2题解filter_var($url, FILTER_VALIDATE_URL)parse_urlpreg_matchimplode Day2题解 <?php $url = $_GET['url']; // 获取一个url // isset() 函数用于检测变量是否已设置并且非 NULL。 if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){ // FILTER_VALIDATE_URL :把
PHP 使用内置 filter_var() 函数快速校验URL、邮箱等参数
ThankiFu的博客
11-16 120
PHP 如何判断一个字符串是不是一个标准 URL 链接地址和合法性?一般情况下我们会使用正则,实际 PHP 内部函数就能判断,而且比自己写的正则还更完善。该函数还有其他校验方法,自行查阅吧。
php filter_validate_url,filter_var() 验证邮箱、ip、url的格式 php
weixin_35316606的博客
04-02 442
验证邮箱格式的正确与否;你的第一解决方法是什么呢?不管你们怎 么[思] [考] 的;反正我首先想到的就是字符串查找看是否有@符号 ;但是对于结尾的.com或者.net 亦或者.cn等等越来越多的域名验证感觉棘手;直到了某一天认真的研究了filter_var()函数的参数;我对以前走马观花式的阅读php文档表示深深的惭愧;其实filter_var()第二个参数传FILTER_VALIDATE_EMA...
关于缺陷对比函数的学习
最新发布
2301_81841047的博客
03-24 574
通过注释可知,这可能是一个包含的题目,并且有无法迭代过滤str_replace,那么也就是说,base为要被替换字符,被替换成的数据是“?而在MD5函数缺陷绕过时,二者的区别也显得更大,前者可以通过0e绕过来进行,而后者对MD5加密后的值比较,在比较数据的是同时还比较类型。,我的学习理解是,既然==只会是从左到右筛选数字,那么非数字部分(如字符)就会被筛选掉,从而达成绕过,因为比较简单所以显得不是很严谨。而===除了会对数据进行比较,还会。首先,是==和===,在我看来也是很重要的一部分。
object 遍历到页面展示_12.3 遍历
weixin_39779928的博客
12-05 294
“DOM2 级遍历和范围”模块定义了两个用于辅助完成顺序遍历 DOM 结构的类型:NodeIterator 和 TreeWalker。这两个类型能够基于给定的起点对 DOM 结构执行深度优先(depth-first)的遍历操作。 在与 DOM 兼容的浏览器中(Firefox 1 及更高版本、Safari 1.3 及更高版本、Opera 7.6 及更高版本、Chrome 0.2 及更高版本),都可...
php中怎么过滤器_PHP Filter过滤器全面解析
weixin_42300121的博客
03-09 284
PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。什么是 PHP 过滤器?PHP 过滤器用于验证和过滤来自非安全来源的数据。验证和过滤用户输入或自定义数据是任何 Web 应用程序的重要组成部分。设计 PHP 的过滤器扩展的目的是使数据过滤更轻松快捷。为什么使用过滤器?几乎所有 web 应用程序都依赖外部的输入。这些数据通常来自用户或其他应用程序(比如 web 服务)。通过使用过滤器...
php filter_var url
06-07
你的问题是关于 PHPfilter_var 函数和 URL 验证的。filter_var 是一个 PHP 内置函数,用于过滤和验证输入数据的函数。它可以用于验证 URL 是否合法。以下是一个示例: ``` $url = "https://www.example.com"; if (!filter_var($url, FILTER_VALIDATE_URL) === false) { echo("$url is a valid URL"); } else { echo("$url is not a valid URL"); } ``` 在上面的示例中,我们使用 filter_var 函数FILTER_VALIDATE_URL 过滤器验证 $url 是否是一个合法的 URL。如果 $url 是一个合法的 URL,将输出 "$url is a valid URL",否则将输出 "$url is not a valid URL"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值