%3c?php else:?%3e,[红日安全]代码审计Day15 - $_SERVER['PHP_SELF']导致的防御失效问题

最新推荐文章于 2024-04-14 16:28:03 发布
最新推荐文章于 2024-04-14 16:28:03 发布
阅读量347 收藏
点赞数
文章标签: %3c?php else:?%3e

本文由红日安全成员: DYBOY 编写,如有不当,还望斧正。

前言

大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第15篇 代码审计文章:

Day 1 Sleigh Ride

题目叫做滑雪橇,代码如下:

658a266c6dd6668237c6cbd44bae4e5e.png

漏洞解析 :

这一关主要考察的是$_SERVER['PHP_SELF'] 引发的一个任意网址跳转漏洞

首先,分析一下程序的运行

如果有$_GET['redirect'] 参数,那么就 New 一个 Redirect 对象,同时调用 Redirect 对象的startRedirect 成员函数

startRedirect函数接受一个 GET 类型的 params 参数,然后在 explode('/', $_SERVER['PHP_SELF']) 函数中,将 $_SERVER['PHP_SELF'] 得到的值,通过/来生成一个$parts数组。

$baseFile 的值为 $parts数组的最后一个值

$url的值为$baseFile?http_build_query($params),其中的 http_build_query()函数就是一个将参数进行URL编码的一个操作,比如 $params='test=123'

然后调用 setHeaders 函数,首先解码$url 参数,然后 header() 函数直接跳转 $url

$_SERVER['PHP']存在的问题:

初看这个程序没什么问题,但是PHP自带的$_SERVER['PHP_SELF'] 参数是可以控制的。其中PHP_SELF指当前的页面绝对地址,比如我们的网站:http://www.test.com/redict/index.php,那么PHP_SELF就是/redict/index.php。但有个小问题很多人没有注意到,当URL是PATH_INFO的时候,比如:http://www.test.com/redict/index.php/admin,那么PHP_SELF就是/redict/index.php/admin

也就是说,其实PHP_SELF有一部分是我们可以控制的。

双编码问题:

URL本来是被浏览器编码过一次,服务器接收到来自浏览器URL请求的时候,会将URL解码一次,由于在程序中我们看到有urldecode()函数存在,它会再次解码一次URL,此时双编码URL就可以利用,用于绕过某些关键词检测。比如将/编码为:%252f

漏洞利用:

比如我们要跳转到我的博客:blog.dyboy.cn,那么就可以构造Payload:http://www.test.com/index.php/http:%252f%252fblog.dyboy.cn?redirect=test¶ms=test123,访问即可重定向跳转到http://blog.dyboy.cn网址

如下图所示,发生了302跳转:

4e49c8d33b72a6162d9415f74df8b903.png

实例分析

其实关于这个漏洞的利用是有很多src,但是都是黑盒测试不是很清楚后台的代码怎么设计的,这里可以提及到一个关于360webscan的防护脚本一个历史漏洞,正是由于$_SERVER['PHP_SELF'] 这个参数导致可以绕过360webscan防护脚本的防护,脚本的防护效果失效,现在此防护脚本更新了

其结构为:

8455561eb0b8c0a0b411bc37f91eb2f8.png

因为这只是一个防护的辅助脚本任何的程序都可以安装使用,这里就以Emlog5.3.1博客程序为例子,程序不重要,这个脚本可以安装接入到任何的程序中。

安装的方法:解压得到360safe文件夹,上后上传到我们的网站根目录中,同时在任意的全局文件中加入如下代码即可安装成功:

b22f8daf78cdaef3c86348dc3f3dacc2.png

在按照上述安装方法安装后,测试访问:http://www.test.com/index.php?test=

XSS拦截显示:

3a421f0c4967ea6549a3b8615958c28f.png

比如GET类型存在SQL注入关键词的等都会被拦截

虽然本脚本的正则过滤规则很好了,但是通过这一个$_SERVER['PHP_SELF'],可以通过白名单规则绕过攻击防护

在存在绕过漏洞的360webscan历史版本中,在194行至219行的的代码(拦截目录白名单检测):

54278b8c998d4b46a9caf59abc725349.png

在上图的第五行,我们看到$url_path的值是直接取的$_server['PHP_SELF']的值,同时没有做任何的验证或过滤

那么我们只要在请求的URL(提交的参数中)存在白名单目录,那么就可以绕过安全检测

因为在webscan_cache.php中的默认的白名单目录存在admin

a9310fa9c2df25d19579e11f6356b48d.png

然后我们访问:http://www.test.com/index.php/admin?test=%3Cscript%3Ealert(1)%3C/script%3E

7194755165295d4de592dc5c623bbaf6.png

此处虽然返回的状态码是404,但是,我们发现已经不再拦截了,如果再配合某些CMS或者PHP系统的伪静态特殊性,那么就可以成功的绕过防护

修复建议

本次审计的其实不是漏洞,主要是一个$_SERVER['PHP_SELF']的问题,再遇上某系伪静态规则配合下,就会导致各种由此形成的各种漏洞

因此,这里推荐使用$_SERVER['SCRIPT_NAME']代替即可,同时,我们可以看到在最新的360webscan中已经更新了这个问题,并且使用了$_SERVER['SCRIPT_NAME']

结语

看完了上述分析,不知道大家是否对 $_SERVER['PHP_SELF'] 函数有了更加深入的理解,文中用到的emlog可以从 百度网盘 (密码: hkb4) 下载,当然文中若有不当之处,还望各位斧正。如果你对我们的项目感兴趣,欢迎发送邮件到 hongrisec@gmail.com 联系我们。

Day15的分析文章就到这里,我们最后留了一道CTF题目给大家练手,题目如下:

index.php 文件:

require('./waf.php');

$conn = mysql_connect('localhost', 'root', 'root') or die('bad!');

mysql_select_db('sql_inject', $conn) OR die("连接数据库失败,未找到您填写的数据库");

//执行sql语句

Measurement_url()

$id = isset($_GET['id']) ? $_GET['id'] : 1;

$sql = "SELECT user FROM sql_inject1 WHERE id='$id'";

$result = mysql_query($sql, $conn) or die(mysql_error());

?>

sql_inject

if(isset($_GET['file']))

{

if(is_file($_GET['file']))

die("Do you want to touzou my code?!");

else{

if(stripos($_GET['file'],'index'))

die("you can only read waf.php!");

else { readfile($_GET['file']);

exit();

}

}

}

$row = mysql_fetch_array($result, MYSQL_ASSOC);

echo "

{$row['user']}

\n";

mysql_free_result($result);

?>

waf.php文件:

error_reporting(0);

$_GET=Add_S($_GET);

$_POST=Add_S($_POST);

$_COOKIE=Add_S($_COOKIE);

$_REQUEST=Add_S($_REQUEST);

function Add_S($array)

{

foreach($array as $key=>$value){

if(!is_array($value)){

$check= preg_match('/regexp|and|like|\"|%|insert|update|delete|union|into|load_file|outfile|\/\*/i', $value);

if($check)

{

exit("Hacker!");

}

}else{

$array[$key]=Add_S($array[$key]);

}

}

return $array;

}

function Measurement_url()

{

$url=parse_url($_SERVER['REQUEST_URI']);

parse_str($url['query'],$query);

$Keyword=array("from","select","like","or");

foreach($query as $key)

{

foreach($Keyword as $value)

{

if(preg_match("/".$value."/",strtolower($key)))

{

die("fuck u!");

}

}

}

}

?>

sql.sql数据文件(MYSQL):

CREATE TABLE IF NOT EXISTS `sql_inject1`(

`id` int auto_increment not null,

`user` varchar(20) not null,

`password` varchar(40) not null,

primary key(`id`)

)ENGINE=InnoDB DEFAULT CHARSET=utf8;

insert into sql_inject1(user,password) values('ur10ser','injectmeifucan');

insert into sql_inject1(user,password) values('admin','injectmeifucan');

insert into sql_inject1(user,password) values('Chabug','66666666666');

insert into sql_inject1(user,password) values('flag','flag{Parse_ur1_iz_not_safe2333333!}');

题解我们会阶段性放出,如果大家有什么好的解法,可以在文章底下留言,祝大家玩的愉快!

相关文章

水韬呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
红队攻防知识分享-红日安全团队靶场1-速通版
beirry的博客
04-14 2997
此版本是根据日常实战中来渗透攻击,如果为了学习,建议先看学习版本 外网打点 端口扫描 通过扫描端口得知web站点开启 目录扫描 得到用的数据库是mysql和一个站点的备份文件 通过文件包拼接得到站点url:http://192.168.54.128/yxcms,使用的cms是yxcms,版本为1.2.1 知道yxcms,直接百度找已知漏洞 访问站点后台,尝试默认密码admin,123456 通过百度得知,编辑前台模板的功能可以插入一句话木马,则直接拿webshell, 获取路径,直接在备份包里搜索前台
[红日安全]代码审计Day3 - 实例化任意对象漏洞.pdf
09-20
[红日安全]代码审计Day3 - 实例化任意对象漏洞
红日php代码审计,[红日安全]代码审计Day3 - 实例化任意对象漏洞
weixin_29454359的博客
03-26 433
本文由红日安全成员:七月火编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫PHP-Audit-Labs。现在大家所看到的系列文章,属于项目第一阶段的内容,本阶段的内容题目均来自PHP SECURITY CALENDAR 2017。对于每一道题目,我们均给出对应的分析,并结合实际C...
红日安全 vulnstack (一)(2),五面拿下阿里飞猪offer
最新发布
2401_83974370的博客
04-14 291
我们这边整理一下,因为这是我们自己搭建的,所以我们物理机肯定和nat网是通的,但是真实情况是win7nat网是外网,所以不能直接用内网cs做服务器,要用公网做服务器,因为内网cs做服务器,外网是ping不通的内网的。我们现在的问题是没有办法直连这三台主机,因为这三台主机不出网,所以我们需要利用中转服务器做一个sock5代理。通过phpinfo 知道C:/phpStudy/WWW/phpinfo.php这是网站根目录。,内网网段为192.168.52.1/24,我们用Ping命令探测域控的ip。
php $_server 安全,$_SERVER['PHP_SELF']安全性浅析
weixin_39753747的博客
04-02 254
我们都知道,在PHP开发中,$_SERVER[’PHP_SELF’],一般用来引用当前网页地址,即表示PHP文件相对于网站根目录地址,可以通过几个例子来看$_SERVER[’PHP_SELF’]的结果:http://www.example.com/php/test.php --> /php/test.phphttp://www.example.com/php/test.php?parm=1...
红日安全靶场(一)学习笔记
qq_45244158的博客
09-22 1966
红日安全靶场(一)学习笔记
lcd.rar_LCD_lcd spartan-3e_spartan_spartan vhdl lcd_spartan-3e l
09-24
Spartan-3e开发板的LCD屏幕上显示
ddr2.rar_SPARTAN-3E_ddr2_ddr2 xilinx_spartan 3A_spartan-3a
09-20
基于xilinx spartan -3A DSP的ddr2控制器
BlueCat.rar_BlueCat_SPARTAN-3E_Xilinx_linux spartan
09-22
BlueCat Linux Board Support Guide for Xilinx Spartan-3E 1600 Boards
MicroBlaze_Spartan3_Sample.rar_SPARTAN-3E_microblaze_spartan mic
09-22
Microblaze spartan 3E
JESD79-3E.zip_DDR3 JEDEC_JESD79-3E_JESD79-3E标准_ddr3 spec_jedec
07-14
JEDEC DDR3 spec 标准,是学习DDR的好资料
红队打靶,红日系列,红日靶场5
qq_47289634的博客
07-27 346
此次靶场虚拟机共用两个,一个外网一个内网,用来练习红队相关内容和方向,主要包括常规信息收集、Web攻防、代码审计、漏洞利用、内网渗透以及域渗透等相关内容学习。对内网来个大保健(详细扫描),发现内网服务器为server2008,192.168.138.138,还存在ms17010。目标主机所在的网络环境还存在一个192.168.138.0的网段,并且存在一个名为“sun”的域环境。这里我直接用的工具上传的shell,也可以根据上面kali中poc的提示写进去。接下来要做的就是信息收集了,常见姿势了解一下。
CTFPHP
Greedy Hat的博客
09-14 746
文章目录PHP超级全局变量$GLOBALS$_SERVER$_REQUEST$_POST$_GET$_FILESPHP内建函数PHP魔术常量_ LINE __ FILE __ DIR __ FUNCTION __ CLASS __ TRAIT ___ METHOD____ NAMESPACE__PHP表单和用户输入PHP表单处理PHP获取下拉菜单的数据PHP下拉菜单单选PHP下拉菜单多选单选按钮表...
CTFSHOW 反序列化篇
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
[BUUCTF 2018]Online Tool
pakho_C的博客
02-21 868
web第36题 [BUUCTF 2018]Online Tool 打开靶场 php代码审计 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET[
实验吧WEB CTF 貌似有点难 全网最简单易懂的解题方法
滕青山博客
03-13 430
前言 题目网址:http://www.shiyanbar.com/ctf/32 需要用到的工具: burpsuite 理解 函数分析 代码中包含了两个部分,一个是得到IP地址的GetIP函数,一个是通过GetIP函数获得的IP验证是否为1.1.1.1的主函数部分。 那么这题的思路应该非常的清晰,我们需要想方法使得代码中的GetIP函数获得的IP地址为1.1.1.1,我们就能得到flag。 好,那么现在我们再来查看这个函数,在这个函数中我们可以这样去进行理解,首先查看是否存在$_SERVE.
[BUUCTF 2018]Online Tool CTF
wuyaowangchuan的博客
11-25 713
https://buuoj.cn/challenges#[BUUCTF%202018]Online%20Tool 进入环境 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } //获取客户端真实的IP地址 if(!isset($_GET['host'])) { highlight_file(__FILE.
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
alert http $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER Possible XSS Attack in URI"; flow:to_server,established; content:"POST"; http_method; content:"/"; http_uri; content:"<"; http_uri; pcre:"/(^\/$|\/([^\?\s]*?)(\?.*)?$)/U"; pcre:"/(([\%3C|\%3E|\x3C|\x3E]+)|(%3C|%3E|<|>)).*?((script|%73%63%72%69%70%74|%3C|%253C|%253c|%3c|%3E|%253E|%253e|%3e|%22|%27|%253B|%253b|%3B|%28|%29|%2528|%2529|%26|%2526|%2522|%253D|%253d|=)(\s|%20)*([\%3C|\%3E|\x3C|\x3E]+|(%3C|%3E|<|>)))/Ui"; classtype:web-application-attack; sid:2001216; rev:7;)
05-25
这是一个 Snort IDS 规则,用于检测可能存在 XSS 攻击的 POST 请求。它会检查请求中的 URI 是否包含特定字符,如 "、">"、";"、"(", ")"、"&"、"""、"'" 等等,并且这些字符周围是否存在 script 或其他可能的危险...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值