SSRF和XSS-filter_var(), preg_match() 和 parse_url()绕过学习

最新推荐文章于 2024-05-09 16:41:33 发布
最新推荐文章于 2024-05-09 16:41:33 发布
阅读量204 收藏
点赞数
文章标签: php javascript ViewUI
原文链接:http://www.cnblogs.com/wfzWebSecuity/p/11139832.html
版权

0x01:url标准的灵活性导致绕过filter_var与parse_url进行ssrf

filter_var()

(PHP 5 >= 5.2.0, PHP 7) filter_var — 使用特定的过滤器过滤一个变量

filter_var()函数对于http://evil.com;google.com 会返回false也就是认为url格式错误,

但是对于以下三个返回True

0://evil.com:80;google.com:80/ 

0://evil.com:80,google.com:80/

0://evil.com:80\google.com:80/

常见的filter 过滤器:

FILTER_VALIDATE_EMAIL
FILTER_VALIDATE_DOMAIN
FILTER_VALIDATE_IP
FILTER_VALIDATE_URL
<?php 

$url = "javascript://alert(1)";
$url1 = "0://1";
$url2 = "a://b";
if(filter_var($url,FILTER_VALIDATE_URL)){
    echo 'Bypass it 1';
}
if(filter_var($url1,FILTER_VALIDATE_URL)){
    echo 'Bypass it 2';
}
if(filter_var($url2,FILTER_VALIDATE_URL)){
    echo 'Bypass it 3';
}

以上两个url都能够通过该函数的检查,看起来只要满足一定的格式,都能够通过其检查,比如满这种://形式

例子:

<?php
   $argv = $_GET['url'];
   echo "Argument: ".$argv."\n";
   // check if argument is a valid URL
   if(filter_var($argv, FILTER_VALIDATE_URL)) {
      // parse URL
      $r = parse_url($argv);
      print_r($r);
      // check if host ends with baidu.com
      if(preg_match('/baidu\.com$/', $r['host'])) {
         // get page from URL
         exec('curl -v -s "'.$r['host'].'"', $a);
         print_r($a);
      } else {
         echo "Error: Host not allowed";
      }
   } else {
      echo "Error: Invalid URL";
   }

以上的代码首先通过filer_var验证是否是合法的url,之后再通过parse_url解析该url,并将解析结果赋给$r,然后提取出来其中的host主机名,然后使用preg_match进行正则过滤,限制其域名为baidu.com,如果

匹配成功则,则对host头部执行curl

payload为:

url=0://your_ip:your_port,baidu.com:80/

中间的逗号,也可以被替换成反斜杠\或者分号;,前面协议位的0貌似可以换成其他非协议字段的都可以

原理:

许多URL结构保留一些特殊的字符用来表示特殊的含义,这些符号在URL中不同的位置有着其特殊的语义。
字符“;”, “/”, “?”, “:”, “@”, “=” 和“&”是被保留的。
除了分层路径中的点段,通用语法将路径段视为不透明。 生成URI的应用程序通常使用段中允许的保留字符来分隔。例如“;”和“=”用来分割参数和参数值。逗号也有着类似的作用。
例如,有的结构使用name;v=1.1来表示name的version是1.1,然而还可以使用name,1.1来表示相同的意思。当然对于URL来说,这些保留的符号还是要看URL的算法来表示他们的作用。
例如,如果用于hostname上,URL“http://evil.com;baidu.com”会被curl或者wget这样的工具解析为host:evil.com,querything:baidu.com

从上面的原理上来看还是curl和wget的锅,还有一种payload0://evil$baidu.com,bash里面的空变量,那么合并eval.com,但是在浏览器端测试没成功,但是在bash环境下测curl这样使用是可以的

 

0x02:通过file_get_contents获取网页内容并返回到客户端有可能造成xss

<?php
  echo "Argument: ".$argv[1]."\n";
  // check if argument is a valid URL
  if(filter_var($argv[1], FILTER_VALIDATE_URL)) {
     // parse URL
     $r = parse_url($argv[1]);
     print_r($r);
     // check if host ends with google.com
     if(preg_match('/baidu\.com$/', $r['host'])) {
        // get page from URL
        $a = file_get_contents($argv[1]);
        echo($a);
     } else {
        echo "Error: Host not allowed";
     }
  } else {
     echo "Error: Invalid URL";
  }
?>

 由以上代码可以我们只要满足filter_var校验url的格式构造payload即可,利用data://即可

因为要从url中提取出host头部去正则匹配host字符串,因此可以在//与/之间构造baidu.com,/后面则跟用来xss的payload,比如<script>alert(1)</script>的base64编码

 参考:

https://www.jianshu.com/p/80ce73919edb

https://paper.seebug.org/561/#urlfilter_varparse_urlssrf

转载于:https://www.cnblogs.com/wfzWebSecuity/p/11139832.html

weixin_30762087
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php使用parse_urlparse_str解析URL
10-24
本文主要向大家介绍了php中2个解析URL的方法(parse_urlparse_str),以及这2种方法的简介和用法,十分全面,推荐给有需要的小伙伴们。
parse_url函数的解释和绕过
热门推荐
https://www.cnblogs.com/zpchcbd/
04-29 1万+
parse_url函数 作用:parse_url — 解析 URL,返回其组成部分 mixed parse_url ( string $url [, int $component = -1 ] ) 本函数解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分。 参数: url:要解析的 URL。无效字符将使用 _ 来替换。 component: 指定 PHP_URL_SCHEM...
filter_var过滤私有ip
晴空的博客
02-26 806
示例 $host = "192.168.1.1"; var_dump(filter_var($host, FILTER_VALIDATE_IP, FILTER_FLAG_IPV4 | FILTER_FLAG_NO_PRIV_RANGE | FILTER_FLAG_NO_RES_RANGE)); echo "&lt;br&gt;"; $host = "127.0.0.1"; var_dump...
phpparse_url绕过
weixin_30338481的博客
09-23 1151
举例传入url的值为http://www.bilibili.com\@dl01.rong360.com/dl/rong360-c_seo_rapp_ask-release.apk 此时通过parse_url解析出来的host为dl01.rong360.com,通过匹配,发现在白名单中 但是,浏览器访问此url:http://www.bilibili.com\@dl01.rong360...
XSS,sql注入入参安全校验
zhyke
08-15 1093
案例1:跨站运行脚本(XSS) <html> <form> <input name="foo" value=' <?php {$_GET['foo']} ?>' > </form> </html> alert('foo') 请求参数输入上面内容 执行上面会出现 上面输入只是简单案例,按照这个思路那...
SSRF绕过filter_var(),preg_match()和parse_url()
weixin_30361641的博客
04-02 242
1.利用curl的变量解释符$ php版本 利用代码 /*ssrf.php*/<?php echo "Argument: ".$argv[1]."n"; // check if argument is a valid URL if(filter_var($argv[1], FILTER_VALIDATE_URL)) { // parse U...
php伪协议xss,filter_var 函数()使用javascript伪协议绕过执行xss
weixin_34480323的博客
04-08 238
escape过滤器来过滤link,而实际上这里的escape过滤器,是用PHP内置函数htmlspecialchars来实现的htmlspecialchars函数定义如下:htmlspecialchars:(PHP 4, PHP 5, PHP 7)功能:将特殊字符转换为 HTML 实体定义:stringhtmlspecialchars( string$string[, i...
SSRF绕过filter_var( ) & data:// xss
3569
03-16 706
php 如此构造&lt;?php echo "Argument: ".$argv[1]."n"; // check if argument is a valid URL if(filter_var($argv[1], FILTER_VALIDATE_URL)) { // parse URL $r = parse_url($argv[1]); ...
php filter 绕过,http请求绕过Filter的实现实例
weixin_30923925的博客
03-18 168
[导读]这篇文章主要介绍了http请求绕过Filter的实现实例的相关资料http请求绕过Filter的实现实例场景:两个web服务器,A当做服务端,B为客户端,B通过Hessian远程访问A。A上加了session过期filter,通过用户信息检查session是否过期。这种情况下,Hessian会先发给filterfilter读不到用户信息就会认为过期了,引起错误。解决方案:让hessian...
SSRF】如何绕过filter_var(), preg_match() 和 parse_url()
a3320315的博客
10-18 834
0x01 前言 转自:Pino_HD 0x02 代码 <?php echo "Argument: ".$argv[1]."\n"; //check if argument is a valid URL if(filter_var($argv[1], FILTER_VALIDATE_URL)){ //parse URL $r =...
ssrfpll.rar_DQ 锁相环_SSRF-PLL_同步锁相环_锁相环_锁相环 同步
07-14
基于同步坐标系的自建锁相环模块仿真,dq坐标系与matlab自带模块相差90度,新建的dq坐标系是符合中式习惯坐标系
ssrf-req-filter:在 NodeJS 中发送请求时防止 SSRF 的模块。 阻止对本地和私有 IP 地址的请求
05-31
ssrf-req-filter - 防止 SSRF 攻击 :shield: 服务器端请求伪造 (SSRF) SSRF 是一种攻击媒介,它滥用应用程序与内部/外部网络或机器本身进行交互。 此向量的促成因素之一是 URL 处理不当。 安装 npm install ssrf-...
SSRF_Vulnerable_Lab-master.zip
10-21
备份,github:https://github.com/incredibleindishell/SSRF_Vulnerable_Lab
CVE-2021-26855_PoC
03-12
CVE-2021-26855_PoC 我在Exchange Server 2019上的早期SSRF有效负载(CVE-2021-26855)... 有效载荷(1) # curl -i -s -k -X $'GET' -H $'Host: <exchange>' -H $'User-Agent: alex666' -H $'Connection: close' -b...
Microsoft_Exchange_Server_SSRF_CVE-2021-26855:Microsoft Exchange Server SSRF防御(CVE-2021-26855)
03-08
Microsoft_Exchange_Server_SSRF_CVE-2021-26855 zoomeye dork:app:“ Microsoft Exchange Server” 使用Seebug工具箱及pocsuite3编写的脚本 ,对近一年的数据进行探测: 成功率大约:1500/5000 = 30%
SpringCloud-Netflix学习笔记12——Hystrix-Dashboard实现服务监控
爱吃雪糕的小布丁的博客
02-11 906
除了隔离依赖服务的调用以外,Hystrix还提供了准实时的调用监控(Hystrix Dashboard),Hystrix会持续地记录所有通过Hystrix发起的请求的执行信息,并以统计报表和图形的形式展示给用户,包括每秒执行多少请求,多少成功,多少失败等等。Netflix通过hystrix-metrics-event-stream项目实现了对以上指标的监控,SpringCloud也提供了Hystrix-Dashboard的整合,对监控内容转化成可视化界面!复制之前80项目的pom文件,新增以下依赖!
如何防止WordPress网站内容被抓取
最新发布
AIDigital的博客
05-09 123
最近在检查网站服务器的访问日志的时候,发现了大量来自同一个IP地址的的请求,用站长工具分析确认了我的网站内容确实是被他人的网站抓取了,我第一时间联系了对方网站的服务器提供商投诉了该网站,要求对方停止侵权行为,然而这只能暂时性的解决问题,为了避免以后再有意外发生,我结合了咨询Hostease的技术支持得到的反馈以及自己从网上了解到的信息,做了以下的优化,分享出来希望能对大家有一些帮助。抓取工具在抓取网站内容的时候,需要依赖网站的RSS feed,对RSS feed做一些小的调整,就可以防止内容被抓取。
【Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1770
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
BUUCTF——web题目练习
2401_82760239的博客
05-04 650
什么也没有,网页源代码也没有什么信息,于是返回上一个界面,用bp抓包看看里面有没有什么信息。根据页面提示,应该是用菜刀工具进行连接,菜刀和蚁剑作用和功能都差不多,这里我用蚁剑进行连接。再次打开题目环境,删除后上传.phtml的一句话木马,上传成功,用蚁剑连接即可得到flag。查看页面源代码,发现里面有一个跳转页面的连接,点击进去,查看这个页面。然后也没有发现什么信息,源代码也没有什么信息,那就用bp抓包看看。没有什么有用的信息,看看源代码试试。
24.下面哪个请求头可以用于防止SSRF攻击? X-Content-Type-Options X-Forwarded-For X-Frame-Options X-XSS-Protection
07-20
X-Forwarded-For请求头可以用于防止SSRF(Server-Side Request Forgery,服务器端请求伪造)攻击。 SSRF攻击是一种利用服务器端应用程序的漏洞,使攻击者能够发送伪造的请求到内部网络或其他受信任的服务器的攻击...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值