绕过过滤的空白字符

最新推荐文章于 2024-06-05 21:25:22 发布
最新推荐文章于 2024-06-05 21:25:22 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: PHP代码审计(偏基础的)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44105778/article/details/88955564
版权 
<?php
 
$info = ""; 
$req = [];
$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
 
ini_set("display_error", false); //为一个配置选项设置值
error_reporting(0); //关闭所有PHP错误报告
 
if(!isset($_GET['number'])){
   header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt
 
   die("have a fun!!"); //die — 等同于 exit()
 
}
 
foreach([$_GET, $_POST] as $global_var) {  //foreach 语法结构提供了遍历数组的简单方式 
    foreach($global_var as $key => $value) { 
        $value = trim($value);  //trim — 去除字符串首尾处的空白字符(或者其他字符)
        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串
    } 
} 
 
 
function is_palindrome_number($number) { 
    $number = strval($number); //strval — 获取变量的字符串值
    $i = 0; 
    $j = strlen($number) - 1; //strlen — 获取字符串长度
    while($i < $j) { 
        if($number[$i] !== $number[$j]) { 
            return false; 
        } 
        $i++; 
        $j--; 
    } 
    return true; 
} 
 
 
if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串 
{
 
   $info="sorry, you cann't input a number!";
 
}
elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值
{
 
     $info = "number must be equal to it's integer!! ";  
 
}
else
{
 
     $value1 = intval($req["number"]);
     $value2 = intval(strrev($req["number"]));  
 
     if($value1!=$value2){
          $info="no, this is not a palindrome number!";
     }
     else
     {
 
          if(is_palindrome_number($req["number"])){
              $info = "nice! {$value1} is a palindrome number!"; 
          }
          else
          {
             $info=$flag;
          }
     }
 
}
 
echo $info;

审计代码可以发现,number必须符合下面3个条件才可以输出flag
1.不为空,且不能是一个数值型数字,包括小数。(由is_numeric函数判断)
2.不能是一个回文数。(is_palindrome_number判断)
3.该数的反转的整数值应该和它本身的整数值相等;即

intval($req["number"])=intval(strrev($req["number"]))

但是2和3又冲突,这该怎么办

方法一

我们构造的payload为:

?number=%002147483647

解释下为什么可以这么构造;
1、is_numeric函数对于空字符%00判断为非数值,绕过第一个条件。
函数判断为非数值,但又不影响它值的构造,理所当然想到空格字符%20和空字符%00。

2、2147483647不是一个回文数绕过第二个条件。

3、这里利用了intval函数的溢出问题。
Intval最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例,在这样的系统上, intval(‘1000000000000’) 会返回 2147483647。64 位系统上,最大带符号的 integer 值是 9223372036854775807。
至于服务器是什么系统的可以用burp抓包分析出来为32位

 $value1 = intval($req["number"]);
 $value2 = intval(strrev($req["number"]));

我们构造的2147483647经过strrev反转函数后为7463847412,又经过intval函数值又变为2147483647。
故满足条件3,可以输出flag

方法二

因为要求不能为回文数,但又要满足intval($req["number"])=intval(strrev($req["number"])),所以我们采用科学计数法构造payload为number=0e-0%00,这样的话我们就可以绕过。

xey在php中就是x*10的y次方

注意
is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后

方法三

is_numeric函数在开始判断前,会先跳过所有空白字符可是题目获取$req[‘number’]的时候明明使用trim过滤了空白字符这时候我们可以引入\f(也就是%0c)在数字前面,来绕过最后那个is_palindrome_number函数,而对于前面的数字判断,因为intval和is_numeric都会忽略这个字符,所以不会影响。
所以我们构造payload=URL?%00%0c191即可绕过上面的条件获得flag

giunwr
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
用php过滤危险html代码的函数
10-30
但是,需要注意的是,这种方法并不完全安全,因为恶意用户可能会使用更复杂的方式来绕过过滤。因此,最佳实践是在服务器端使用更强大的库,如HTMLPurifier,它能更全面地解析和清理HTML,同时保持其结构完整。 总结...
oracle注入绕狗1
08-03
2. **空格字符测试**:在进行SQL注入时,通常会尝试使用各种空格字符绕过过滤,如 `%09`(制表符)、 `%0A`(换行符)、 `%0B`(垂直制表符)、 `%0C`(换行符)和 `%0D`(回车符)。这些编码在URL中表示不同的...
演练作为红方,绕过SQL注入
keyboard专栏
04-17 446
绕过SQL注入护通常涉及利用Web应用程序或中间件(如Web应用火墙,简称WAF)的缺陷或不足。这些护机制通常依赖于识别和阻止恶意的SQL查询模式,但通过一定的技术和策略,攻击者可以改变查询的结构或表现形式,从而避开这些护措施。
常见绕过方法总结
weixin_66839513的博客
03-26 1393
两个空格代替一个空格,用Tab代替空格,%a0=空格。绕过的替代类型:%20 --代表url编码的空格,在空格过滤时可以代替。%09--用于在输出或显示文本时在该位置产生一个固定的水平间距,类似于tab键。%0a--代表换行符%0b--用于在输出或显示文本时在该位置产生一个固定的垂直间距,类似于tab键。%0c--%0d--回车换行%a0--代表的是非断行空格%00--%00代表的是ASCII码中的空字符/**/可以将空格字符替换成注释/**/,也可以使用内联注释,/!code。
攻击绕过】IP速率限制绕过
大河之犬的博客
06-05 469
应尝试对目标功能的API接口执行暴力攻击,例如/api/v3/sign-up,包括/Sing-up,/SignUp,/singup,/api/v1/sign-up,/api/sign-up等替代选项。通过改变参数值或向请求添加非重要参数,可以规避网关的速率限制逻辑,使每个请求看起来是独一无二的。建议修改其他请求标头,如用户代理和Cookie,因为这些也可以用于识别和跟踪请求模式。部署代理网络以将请求分布到多个 IP 地址可以有效地绕过基于 IP 的速率限制。实例,可以调整以模拟来自不同IP的请求。
xss绕过空格符号_第二轮学习笔记: XSS跨站脚本漏洞
weixin_29670781的博客
12-12 450
扎头发,两圈太松,三圈太紧,洗澡,往左一点烫死,往右一点冻死,吃泡面,一桶吃不饱,两桶吃不完,就像我们的关系。。。---- 网易云热评跨站脚本攻击(XSS),恶意攻击者在web页面插入恶意script代码,当用户浏览该页面时,恶意代码就会被执行,达到攻击用户的目的。形成原因:程序对输入和输出的过滤不严格一、反射型XSS:需要欺骗用户自己点击链接才能出发XSS代码1、在输入窗口输入123,点击提交...
SQL注入之绕过空格
nihao_ma_的博客
05-07 1984
SQL注入之空格绕过技巧
PHP代码审计示例(一)——淡然点图标系统SQL注入漏洞审计
永远是少年
03-06 2036
今天继续给大家介绍渗透测试相关知识,本文主要内容是PHP代码审计示例——淡然点图标系统SQL注入漏洞审计。 一、关键字查询 二、PHP代码查看 三、验证绕过 四、payload构造与漏洞验证
PHP代码审计(含详细文件目录)
04-05
02 绕过过滤空白字符.php 03 多重加密.php 04 SQL注入_WITH ROLLUP绕过.php 05 ereg正则%00截断.php 06 strcmp比较字符串.php 07 sha()函数比较绕过.php 08 SESSION验证绕过.php 09 密码md5比较绕过.php 10 url...
PHP代码审计.zip
12-23
1. **02 绕过过滤空白字符.php** 这个文件可能涉及到输入过滤和验证。在PHP中,用户输入经常需要清理,以止恶意数据(如SQL注入或跨站脚本)进入系统。然而,通过添加不可见的空白字符攻击者可能能够绕过简单...
SQL_BypassWaf.pdf
04-08
`、`'`、`"`、`~`、`{`等,配合注释符和空白字符(如 `%0a`、`%0d`等),可以构造出混淆WAF的查询语句。 【WAF类型】WAF主要分为硬件类、软件类和基于云的WAF。硬件WAF如绿盟、天融信、安恒的产品;软件WAF包括安全...
如何构造不包含字母和数字的webshell
qq_61739597的博客
08-17 639
基本代码运行思路理解php?运行结果为!我们可以看到,输出的结果是字符"!之所以会得到这样的结果,是因为代码中对字符"A"和字符"`"进行了异或操作。在PHP中,两个变量进行异或时,先会将字符串转换成ASCII值,再将ASCII值转换成二进制再进行异或,异或完,又将结果从二进制转换成了ASCII值,再将ASCII值转换成字符串。异或操作有时也被用来交换两个变量的值。那么什么是异或操作呢在php中,异或操作是两个二进制数相同时,异或为0,不同为1比如像上面这个例子。
WAF攻研究之四个层次Bypass WAF
weixin_67122896的博客
06-15 981
从架构、资源、协议和规则4个层次研究绕过WAF的技术,助于全方位提升WAF御能力。 绕过WAF的相关技术研究是WAF攻研究非常重要的一部分,也是最有趣的部分,所以我在写WAF攻时先写攻击部分。还是那句老话“不知攻焉知”,如果连绕过WAF方法都不知道,怎么保证WAF能保护后端服务的安全。在我看来,WAF的绕过技术的研究将不断驱动御水平提高。以前一些WAF bypass的文章更像CASE的整理,都把焦点放在了规则对抗层面。绕过WAF规则,更像是正面对抗,属于下策。一直关注规则层面的绕过,太局限视
RCE绕过之无数字字母getshell
Ciyaso的博客
07-23 1852
无数字字母getshell ①取反 php可以对汉字取反获得乱码,但大多数会包含一个字母,例如你字取反为B_其中第二位就是大写字母B,所以可以通过这种方法获得字母B 这里使用羽师傅的脚本 <?php //在命令行中运行 /*author yu22x*/ fwrite(STDOUT,'[+]your function: '); $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); fwrite(STDOUT,'[+]you
WEB攻-RCE代码&命令执行&过滤绕过&异或无字符&无回显方案&黑白盒挖掘
siu~
10-25 765
1、RCE-原理-代码执行&命令执行 2、RCE-黑白盒-过滤绕过&不回显方案
【文件包含漏洞03】文件包含漏洞的空字符绕过及六种利用方式
Fighting_hawk的博客
03-11 5113
1. 关于图片马的几种执行方式总结: (1)利用中间件解析漏洞,不同中间件不同版本的利用方式往往不同。 (2)利用.htaccess修改Apache局部配置。 (3) 利用文件包含执行漏洞。 2. 了解PHP魔术引号的作用。 3. 掌握文件包含漏洞空字符绕过的方法。 4. 掌握文件包含漏洞的六种利用方式。...
渗透测试mysql SQL注入——WAF 绕过原理
网络安全领域优质创作者
02-16 1653
WAF绕过必要条件 1,熟练掌握mysql函数和语法使用方法 2,深入了解中间件运行处理机制 3,了解WAF护处理原理和方法 一,WAF绕过原理——白盒绕过 代码样例 $sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1"; $result=mysql_query($sql); $row = mysql_fetch_array($resul...
空格绕过方法
东隅的博客
02-21 902
%20 %09 \t
使用sqlmap绕过过滤
最新发布
07-04
<< SQLMap是一个著名的开源工具,用于自动化SQL注入攻击和安全漏洞检测。当面对网站的输入过滤止SQL注入的护机制时,SQLMap提供了一种策略来绕过这些过滤: 1. **利用编码技巧**:SQLMap会尝试各种字符编码(如UTF-8、ASCII等)来绕过基于正则表达式的过滤规则,因为一些特殊字符可能被错误地认为是合法输入。 2. **参数化查询的规避**:一些应用程序使用预编译的参数化查询来御SQL注入。SQLMap会寻找执行动态SQL的机会,例如通过构造恶意URL中的查询字符串,使得应用程序无法区分参数和SQL命令。 3. **异常处理**:有些系统在遇到预期之外的输入时,可能会返回错误信息而非执行恶意SQL。SQLMap会探测这类情况,并尝试利用这些反馈来构建更复杂的攻击序列。 4. **SQL注释和注解**:某些情况下,开发者可能会误用SQL注释(如`--`)或数据库特定的注解来隐藏敏感部分。SQLMap会识别并利用这些结构来隐藏其真正的SQL意图。 5. **动态探测**:SQLMap能够分析目标系统的响应动态调整策略,比如通过增加或减少引号数量,以适应过滤器的不同模式。 然而,请注意,SQLMap主要用于教育和研究目的,非法入侵他人系统是不道德的行为。在安全测试中,应获得权限并与相关人员沟通,尊重网络道德和法规。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值