php 绕过 stripos,PHP的两个特性导致waf绕过注入(有趣的知识点)

最新推荐文章于 2024-03-19 21:34:01 发布
最新推荐文章于 2024-03-19 21:34:01 发布
阅读量1.5k 收藏
点赞数
文章标签: php 绕过 stripos

1、HPP HTTP参数污染

HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:

user.php?id=111&id=222

如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。

2、一个CTF题目

关于注入的waf绕过,注入点为:

Default

$sql="select * from user where id=".$_REQUEST["id"].";";

1

$sql="select * from user where id=".$_REQUEST["id"].";";

可以看到了REQUEST进行传递,并且存在如下的waf代码:

Default

functionwaf($str) {

if(stripos($str,"select")!==false)

die("Be a good person!");

if(stripos($str,"union")!==false)

die("Be a good person!");

......

}

functionwafArr($arr) {

foreach($arras$k=> $v) {

waf($k);

waf($v);

}

}

wafArr($_GET);

wafArr($_POST);

wafArr($_COOKIE);

wafArr($_SESSION);

functionstripStr($str) {

if(get_magic_quotes_gpc())

$str= stripslashes($str);

returnaddslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));

}

$uri= explode("?",$_SERVER['REQUEST_URI']);

if(isset($uri[1])) {

$parameter= explode("&",$uri[1]);

foreach($parameteras$k=> $v) {

$v1= explode("=",$v);

if(isset($v1[1])) {

$_REQUEST[$v1[0]] = stripStr($v1[1]);

}

}

}

functionstripArr($arr) {

$new_arr= array();

foreach($arras$k=> $v) {

$new_arr[stripStr($k)] = stripStr($v);

}

return$new_arr;

}

$_GET=stripArr($_GET);

$_POST=stripArr($_POST);

$_COOKIE=stripArr($_COOKIE);

$_SESSION=stripArr($_SESSION);

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

functionwaf($str){

if(stripos($str,"select")!==false)

die("Be a good person!");

if(stripos($str,"union")!==false)

die("Be a good person!");

......

}

functionwafArr($arr){

foreach($arras$k=>$v){

waf($k);

waf($v);

}

}

wafArr($_GET);

wafArr($_POST);

wafArr($_COOKIE);

wafArr($_SESSION);

functionstripStr($str){

if(get_magic_quotes_gpc())

$str=stripslashes($str);

returnaddslashes(htmlspecialchars($str,ENT_QUOTES,'UTF-8'));

}

$uri=explode("?",$_SERVER['REQUEST_URI']);

if(isset($uri[1])){

$parameter=explode("&",$uri[1]);

foreach($parameteras$k=>$v){

$v1=explode("=",$v);

if(isset($v1[1])){

$_REQUEST[$v1[0]]=stripStr($v1[1]);

}

}

}

functionstripArr($arr){

$new_arr=array();

foreach($arras$k=>$v){

$new_arr[stripStr($k)]=stripStr($v);

}

return$new_arr;

}

$_GET=stripArr($_GET);

$_POST=stripArr($_POST);

$_COOKIE=stripArr($_COOKIE);

$_SESSION=stripArr($_SESSION);

这里使用了waf函数分别对GET POST SESSION COOKIE数据进行过滤,并且对这些全局数组进行转义。

值得注意的是,这里的$_REQUEST是代码中重新根据$_SERVER[‘REQUEST_URI’]进行拼接,在拼接过程中将参数值进行转义操作。

(1)思路1  使用HPP特性

看似不太可能存在注入,但是使用HPP可以实现。

示例代码:

Default

user.php?id=0 or 1&id%00=1

user.php?id=0 or 1&%20id=1

user.php?id=0 or 1?&id=1

1

2

3

user.php?id=0or1&id%00=1

user.php?id=0or1&%20id=1

user.php?id=0or1?&id=1

测试代码:

Default

function stripArr($arr) {

$new_arr = array();

foreach ($arr as $k => $v) {

$new_arr[stripStr($k)] = stripStr($v);

}

return $new_arr;

}

function stripStr($str) {

if (get_magic_quotes_gpc())

$str = stripslashes($str);

return addslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));

}

$uri = explode("?",$_SERVER['REQUEST_URI']);

if(isset($uri[1])) {

$parameter = explode("&",$uri[1]);

foreach ($parameter as $k => $v) {

$v1 = explode("=",$v);

if (isset($v1[1])) {

$_REQUEST[$v1[0]] = stripStr($v1[1]);

}

}

}

var_dump($_GET) ;

var_dump($_REQUEST) ;

?>

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

functionstripArr($arr){

$new_arr=array();

foreach($arras$k=>$v){

$new_arr[stripStr($k)]=stripStr($v);

}

return$new_arr;

}

functionstripStr($str){

if(get_magic_quotes_gpc())

$str=stripslashes($str);

returnaddslashes(htmlspecialchars($str,ENT_QUOTES,'UTF-8'));

}

$uri=explode("?",$_SERVER['REQUEST_URI']);

if(isset($uri[1])){

$parameter=explode("&",$uri[1]);

foreach($parameteras$k=>$v){

$v1=explode("=",$v);

if(isset($v1[1])){

$_REQUEST[$v1[0]]=stripStr($v1[1]);

}

}

}

var_dump($_GET);

var_dump($_REQUEST);

?>

输出结果:

052617cbebbeb3e1109aa5791092713b.png

可以看到,这里的GET数组取到了最后一个值,不会触发waf,而REQUEST数据中,id则为我们的注入语句,这样

利用这两者之间的差异,我们可以绕过waf函数的检测,并且利用之前的注入点来实现注入。

(2)思路2: 利用#特性($_SERVER[‘REQUEST_URI’])

在浏览器中,是不会将#号之后的hash内容发送给服务器的,这里利用burp发包,可以将hash的内容发送至服务器,比如发送:

Default

/#?id=1

1

/#?id=1

这里GET数组为空,REQUEST则输出为/#?id=1,这样,就可以绕过waf函数对GET数组的判断,

并且在REQUEST(这里主要因为REQUEST数组是使用了REQUEST_URI进行了重组)中携带注入的语句,绕过了waf检测。

8a2eb80d09e2773bd11d24cf7e62e3ce.png

3、总结

这种特性导致的漏洞场景比较特殊,首先,CTF中模拟的场景是waf函数 只对GET,POST,SESSION,COOKIES全局数组进行的处理,注入点为REQUEST,在场景中,代码对REQUEST数组通 过$_SERVER[‘REQUEST_URI’],使用&分割重新组装的,这种代码处理可能是由于程序员想对REQUEST数组进行转义或者一 些净化处理才加进来的。

利用:

(1)HPP特性,提交重复参数内容,PHP处理参数时会覆盖,但是程序拼接时会出现差异,

比如提交:http://127.0.0.1/shell.php?id=0 or 1&id%00=1

GET为id=1,REQUEST为:

Default

'id' =>string'0%20or%201'(length=10)

'id%00' =>string'1'(length=1)

1

2

'id'=>string'0%20or%201'(length=10)

'id%00'=>string'1'(length=1)

可以看到,成功将注入内容引入到REQUEST数组中。

(2)利用#符号,#后面的内容不会带入至GET数组中,但是会出现在REQUEST_URI中,所以可以利用这个特性将注入语句带入到REQUEST对象中。

总之,这种特性导致的漏洞场景比较特殊,但是确实比较有趣。

王梓键
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP stripos()函数及注意事项的分析
10-27
本篇文章是对PHP中的stripos()函数及注意事项进行了详细的分析介绍,需要的朋友参考下
CTF中的PHP特性
qq_45086218的博客
02-26 4051
文章目录正则表达式元字符模式修正符preg_match()数组绕过换行绕过intval()字符绕过科学计数法进制转换小数点绕过strpos()md5强类型比较弱类型比较md5碰撞file_put_contents()in_array()优先级 本文以ctf.show网站题目为例,总结ctf中的php特性 正则表达式 元字符 模式修正符 preg_match() 数组绕过 preg_match()只能处理字符串,当传入的subject是数组时会返回false if(preg_match("/[0-9]/
PHP代码层防护与绕过
10-24 378
0x01 前言   在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。   这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。   Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。 0x02 关键字过滤 ...
PHP短标签、双写绕过
最新发布
2401_82985722的博客
03-19 187
文件中包含了PHP代码,但是在上下文中不被允许。(后端利用正则限制匹配PHPphp)上传的文件类型不是有效的 JPEG 图片格式。短标签会直接把php的结果输出,原来的路径中存在php。用pphpph双写绕过。·这都不做(web)(此题免杀马不可用)连接蚁剑,得flag。
Bugku——strpos数组绕过
热门推荐
王嘟嘟的博客
11-01 1万+
0x00 前言 不想学习,简单的做一做CTF的题目。 看到了CTF里的排名,然后好像又有了动力。 题目 0x01 start 题目说的很清楚。数组绕过。那我们来看一下源码,然后来进行测试。 <?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) ech...
封神台ctf练习靶场——一月靶场
AlunXZhou的博客
03-18 1418
封神台刷题
php一些特性函数(ctfshow)
qq_62046696的博客
06-22 1876
preg_match()返回 pattern 的匹配次数。 它的值将是0次(不匹配)或1次,因为preg_match()在第一次匹配后 将会停止搜索。preg_match_all()不同于此,它会一直搜索subject 直到到达结尾。 如果发生错误preg_match()返回 FALSE。情况1:get方式传入num参数,然后通过preg_match判断是否存在数字,如果存在,就die,不存在的话然后intval函数判断整数,通过数组绕过preg_match,因为preg_match无法处理数组情况2:if
php 绕过 stripos,PHP stripos()、strripos()和strrpos() 使用方法和区别
weixin_36068796的博客
03-28 1430
stripos():查找字符串首次出现的位置(不区分大小写)写法:stripos ( string $haystack , string $needle [, int $offset = 0 ] )haystack:在该字符串中查找。needle:注意 needle 可以是一个单字符或者多字符的字符串。如果 needle 不是一个字符串,那么它将被转换为整型并被视为字符顺序值。offset:可选的...
PHP特性&缺陷对比函数&CTF考点
m0_63917373的博客
09-13 2099
PHP特性&缺陷对比函数&CTF考点 ctf Show-web
[Bugku][Web][CTF] 16-29 write up
dadongwudi的博客
12-26 328
web16 备份是个好习惯 /index.php.bak 查看php代码 1.因为md5()函数加密不能处理数组,则key1和key2的返回值为空,即可获得flag http://123.206.87.240:8002/web16/?kkeyey1[]=1&kkeyey2[]=4 2.利用==比较漏洞 如果两个字符经MD5加密后的值为 0exxxxx形式,就会被认为是科学计数法,且表示的是0*10的xxxx次方,还是零,都是相等的。 下列的字符串的MD5值都是0e开头的: QNKCDZO 2406
stripos函数知识点实例分享
10-17
在本篇内容中我们给大家分享了关于stripos函数知识点实例内容,有需要的朋友们跟着学习下。
PHP中strpos、strstr和stripos、stristr函数分析
10-22
主要为大家详细介绍了PHP中strpos、strstr和stripos、stristr函数源码,感兴趣的朋友可以参考一下
XSS跨站脚本攻击漏洞之2DVWA中的利用和绕过
ISNS的博客
03-07 834
说在开头:文章是我通过查询资料后按照自己的理解总结出来的,所以如果有说法不对的地方,欢迎大佬指正~ DVWA是一款非常好的web漏洞练习平台,也是一款非常好的学习php代码审计的一个平台。我们可以利用它来学习XSS漏洞。 安装环境 平台搭建好以后,登录账号:admin,密码:password。 设置安全级别 一共有四个级别:Low、Medium、High、impossible。 我们依次测试每个...
【BugkuCTF】Web--never give up
VZZmieshenquan的博客
02-11 3378
Description: http://123.206.87.240:8006/test/hello.php 作者:御结冰城 Solution: 打开页面,查看源代码发现有个1p.html,将网址改成123.206.87.240:8006/test/1p.html发现跳转到了www.bugku.com,猜测应该是有重定向的代码,那直接看源代码就行,输入view-source:123.206...
第22天-WEB 漏洞-文件上传之内容逻辑数组绕过
MCTSOG的博客
03-07 995
相关知识 图片一句话木马 制作方法: 1-在 cmd 里执行 copy logo.jpg/b+test.php/a test.jpg logo.jpg 为任意图片 test.php 为我们要插入的木马代码 test.jpg 为我们要创建的图片马 这类命令还有很多用处,比如将压缩包伪装成图片: copy/b 1.jpg/b+1.rar/b 2.jpg b指代的是二进制 2-也可以直接编辑在尾部插入一句话木马 文件头检测 文件头检查是指当浏览器上传到服务器的时候,白名单进行的文件头检测,符合,则允许上传,.
第21、22天:WEB漏洞-文件上传之后端黑白名单以及内容逻辑数组绕过
cailme的博客
05-26 541
渗透测试day21、22
CSRF ————(二)绕过http_referer来源核对
weixin_43102772的博客
03-01 478
1. http_referer是什么 HTTP Referer是header的一部分,当浏览器想web服务器发送请求的时候,一般都会带上referer,他是告诉服务器这个网页是从哪个链接过来的。因此服务器可以过得一些信息用户处理。 2. 用http_referer防御CSRF HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,会带上Referer,通过验证Ref...
CSRF攻击(2), 绕过Referer防御
探测???
11-02 659
这里可以看到 Referer 中由于包含了文件名, 所以就间接包含有目标服务器的ip, 绕过了后端对 SERVER_NAME 的判断, 密码修改成功.这里看到表单类型的链接, 点击后 Referer 只包含攻击者的ip, 并没有目标ip, 因此被防御.策略,这将导致浏览器在Referer头中发送完整的URL,为了避免出现这种情况, 可以在HTML文件中使用。当使用一个普通的表单类型的钓鱼链接时, 比如。, 浏览器会根据这个策略发送Referer头.标签会指示浏览器在发送请求时使用。
文件上传-绕过/验证
硫酸超的博客
08-11 904
文件上传文件上传验证后缀名:黑名单,白名单文件类型:MIME信息 文件上传验证 后缀名,类型,文件头 后缀名:黑名单,白名单 黑名单:明确不允许上传的格式后缀 asp php jsp aspx cgi war… 缺陷:如果php phtml…没有定义到后名单里,可以用这格式绕过限制 白名单:明确可以上传的格式后缀 jpg png zip rar gif … 白名单验证要更安全 文件类型:MIME信息 Content-Type称之为MIME信息 文件头:内容头信息 演示案例:uploadlabs关卡分析
php 绕过 stripos
10-05
PHP中,如果想绕过stripos函数,可以使用其他函数来达到相同的目的。一种方法是使用preg_match函数,它可以用来进行正则表达式的匹配。另一种方法是使用strpos函数,它可以用来查找一个字符串在另一个字符串中的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值