ssrf 过滤.php,SSRF技巧之如何绕过filter_var( )

最新推荐文章于 2022-11-28 22:53:19 发布
最新推荐文章于 2022-11-28 22:53:19 发布
阅读量409 收藏
点赞数

101058

0x00 前言

前几天我读了两篇非常棒的论文:第一篇是发表在blackhat.com上的“A New Era of SSRF ”,讲述的是不同编程语言的SSRF问题;第二篇是由Positive Technology发表的一篇名为“PHP Wrapper” 的论文,它主要讲述的是如何以多种不同的方式使用PHP Wrapper来绕过过滤器以及受过滤的输入(您可以在结尾处找到这两个链接)。

在本文中,我将深入介绍一些SSRF技术,您可以使用这些技术攻击那些使用filter_var()或preg_match()等过滤器的PHP脚本,并且可以使用curl或file或file_get_contents()来获取HTTP内容。

101058

图1:对于抓娃娃机的一种典型的SSRF攻击

引用OWASP上的定义:

在服务器端请求伪造(SSRF)攻击中,攻击者可以利用服务器上的功能来读取或更新内网资源。 攻击者可以配置或更改与服务器上运行的代码有关的URL链接来读取或提交数据,此外,通过精心构造的URL,攻击者可以读取服务器配置,例如AWS元数据,连接到启用http数据库的内部服务器中抑或是对内部的非公开服务发起post请求。

0x01 PHP中易受攻击的代码

本文所有的实验代码都是基于PHP7.0.25完成的(或许当你读到这篇文章时,它已经过时了,但描述的技术细节和原理都是有效的)。

101058

图2:使用的PHP版本

以下是我用来测试的PHP脚本:

echo "Argument: ".$argv[1]."n";

// check if argument is a valid URL

if(filter_var($argv[1], FILTER_VALIDATE_URL)) {

// parse URL

$r = parse_url($argv[1]);

print_r($r);

// check if host ends with google.com

if(preg_match('/google.com$/', $r['host'])) {

// get page from URL

exec('curl -v -s "'.$r['host'].'"', $a);

print_r($a);

} else {

echo "Error: Host not allowed";

}

} else {

echo "Error: Invalid URL";

}

?>

如您所见,脚本从第一个参数中获取URL(可以是web应用中的post方式或者get方式),然后使用函数filter_var()来验证URL的格式。如果没问题,解析函数parse_url()会解析URL,再使用函数preg_match()用正则表达式来检查主机名是否以google.com结尾。

如果一切正常,脚本会通过curl发起一个http请求以获取目标网页内容,之后使用print_r()打印出响应主体。

0x02 预期行为

此PHP脚本只能接受针对google.com 主机名的请求,其余目标一律拒绝,不如让我们试一试:

http://google.com

101058

图3:尝试请求google.com页面

http://evil.com

101058

图4:尝试请求evil.com页面

截止目前,一切都很顺利。第一个针对google.com 的请求被接受,而第二个对evil.com的请求被拒绝。安全等级:1337+ 呵呵。

0x03 绕过URL验证和正则表达式

在上文我并不美观的代码中,正则表达用于检验请求主机名是否以google.com结尾。这似乎很难避免,但倘若你熟悉URI RFC语法,你应该明白分号和逗号可能是你利用远程主机上的ssrf的秘密武器。

许多URL方案中都有保留字符,保留字符都有特定含义。它们在URL的方案特定部分中的外观具有指定的语义。如果在一个方案中保留了与八位组相对应的字符,则该八位组必须被编码。除了字符“;”, “/”, “?”, “:”, “@”, “=” 和 “&” 被定义为保留字符,其余一律为不保留字符。

除了分层路径中的dot-segments之外,一般语法认为路径段不透明。 生成应用程序的URI通常使用段中允许的保留字符来分隔scheme-specific或者dereference-handler-specific子组件。 例如分号(“;”) 和等于(“=”) 保留字符通常用于分隔适用于该段的参数和参数值。 逗号(“,”) 保留字符通常用于类似目的。

例如,一个URI生产者可能使用一个段name;v=1.1来表示对“name”版本1.1的引用,而另一个可能使用诸如“name,1.1”的段来表示相同含义。参数类型可以由scheme-specific 语义来定义,但在大多数情况下,一个参数的语法是特定的URI引用算法的实现。

例如,若应用于主机evil.com;google.com可能会被curl 或者wget 解析成hostname: evil.com 和 querystring: google.com,不如来试一下:

http://evil.com;google.com

101058

图5:尝试用 ;google.com bypass 过滤器

函数filter_var()可以解析许多类型的 URL schema,从上面可以看出filter_var()拒绝以主机名和“HTTP”作为schema验证我请求的URL,但如果我把 schema从http:// 改成别的会怎样呢?

0://evil.com;google.com

101058

图6:过滤器被使用0代替HTTP bypass掉了

完美!成功绕过filter_var() 和preg_match(),但是curl依然请求不到evil.com页面。。。。为什么呢?不如来尝试下使用别的语法,尽量让;google.com不被解析成主机名的一部分,例如通过制定目标端口:

0://evil.com:80;google.com:80/

101058

图7:SSRF使curl对evil.com进行了请求而不是google.com

耶,我们看到curl已经开始连接evil.com,使用逗号代替分号会出现同样的情况 :

0://evil.com:80,google.com:80/

101058

图8:相同的SSRF不过此处使用逗号代替分号

0x04 对URL解析函数进行SSRF

parse_url()是用于解析一个 URL 并返回一个包含在 URL 中出现的各种组成部分关联数组的PHP函数。这个函数并不是要验证给定的URL,它只是将它分解成上面列出的部分。 部分网址也可以作为parse_url()的输入并被尽可能的正确解析。

在一个PHP脚本中去bypass一个用于将部分字符串转换为一个变量的的正则表达式是我们最喜欢研究的技术之一。这项工作是否成功最终将由Bash来认定。例如:

0://evil$google.com

101058

图9:使用“Bash中变量的语法”来绕过过滤器并利用SSRF

使用这种方式,我让bash将$google分析为一个空变量,并且使用curl请求了evil .com。 这是不是很酷?:)

然而这只发生在curl语法中。 实际上,正如上面的屏幕截图所示,由parse_url()解析的主机名仍然是 evil$google.com。 $ google变量并没有被解释。 只有当使用了exec()函数而且脚本又使用$r[‘host’]来创建一个curl HTTP请求时,Bash才会将其转换为一个空变量。

显然,这个工作只是为了防止PHP脚本使用exec()或system()函数来调用像curl,wget之类的系统命令。

0x05 win环境中data:// 之于XSS

另一个使用file_get_contents()代替PHP使用system()或exec()调用curl的例子:

echo "Argument: ".$argv[1]."n";

// check if argument is a valid URL

if(filter_var($argv[1], FILTER_VALIDATE_URL)) {

// parse URL

$r = parse_url($argv[1]);

print_r($r);

// check if host ends with google.com

if(preg_match('/google.com$/', $r['host'])) {

// get page from URL

$a = file_get_contents($argv[1]);

echo($a);

} else {

echo "Error: Host not allowed";

}

} else {

echo "Error: Invalid URL";

}

?>

正如你所见,file_get_contents()在使用之前描述的相同技术验证之后使用了原始参数变量。 让我们尝试通过注入一些文本来修改响应主体,如“I Love PHP”:

data://text/plain;base64,SSBsb3ZlIFBIUAo=google.com

101058

图10:尝试控制响应主体

parse_url()不允许将文本设置为请求主机,并且它返回了“not allowed host”正确拒绝解析。不要绝望! 有一件事我们可以做,我们可以尝试将某些东西“注入”URI的MIME类型部分……因为在这种情况下,PHP不关心MIME类型…也是,又有谁在乎呢?

data://google.com/plain;base64,SSBsb3ZlIFBIUAo=

101058

图11:向响应体注入 “I love PHP”

接下来进行XSS攻击便是小菜一碟了…

data://text.google.com/plain;base64,<...b64...>

101058

图12:使用之前描述的技术进行简单的XSS

以上便是全部,感谢观看!

0x06 Links

Positive Technologies: “PHP Wrappers” http://bit.ly/2lXk1e8

Orange Tsai: “A new era of SSRF” http://ubm.io/2FdUu9F

疯狂包包
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php parse url ctf,【SSRF】如何绕过filter_var(), preg_match() 和 parse_url()
weixin_34094282的博客
04-14 595
0x01 前言这篇文章是在我看完一片国外安全大佬写的文章后对其进行总结并翻译得到的。0x02 正文之绕过filter_var和preg_match本片文章主要深入一种php ssrf的技术——如何绕过例如filter_var(), preg_match()和parse_url()等函数。本次我进行测试的php版本全部为php v5.6.30php-versionPHP 漏洞代码echo "Argu...
SSRF绕过filter_var( ) & data:// xss
3569
03-16 710
php 如此构造&lt;?php echo "Argument: ".$argv[1]."n"; // check if argument is a valid URL if(filter_var($argv[1], FILTER_VALIDATE_URL)) { // parse URL $r = parse_url($argv[1]); ...
ssrf绕过filter_var函数使用file_get_contents读取任意文件
Firebasky的博客
09-27 2825
前几天师傅给我发了一个ssrf的题目,是一个比赛题目,但是也一直没有拿下,就是可以执行xss,但是flag存在根目录下面,要需要读取文件,百度了一下没有发现新思路。在之后师傅给我提供了新思路。 1. ssrf绕过filter_var函数使用file_get_contents读取任意文件 直接上源代码 <?php highlight_file(__FILE__); $argv[1]=$_GET['a']; if(filter_var($argv[1],FILTER_VALIDATE_URL)) {.
ssrf 过滤.php,[CTFSHOW]SSRF
weixin_33359523的博客
03-22 328
文章目录web351首先代码审计,简简单单的使用php的curl,发现没有过滤,尝试读取本地文件error_reporting(0);highlight_file(__FILE__);$url=$_POST['url'];$ch=curl_init($url);curl_setopt($ch, CURLOPT_HEADER, 0);curl_setopt($ch, CURLOPT_RETURNTR...
ssrf 过滤.php,SSRF详细利用方式及getshell
weixin_33955394的博客
03-22 521
本文将分为三个部分讲解0x01 ssrf本地远程及其他验证漏洞方式0x02 ssrf利用redis未授权getshell0x03 ssrf常见的绕过方式0x01 ssrf本地及远程验证方式重新复现一下 顺便复习一下curl和监听端口的命令无回显的ssrf验证本地开启apache服务 在存在ssrf处访问http://10.1.1.200(本机服务地址)查看kali机器服务器日志信息:tail -...
SSRF bible. Cheatsheet
08-06
SSRF bible. Cheatsheet SSRF attack and sockets presentation.
ssrfpll.rar_DQ 锁相环_SSRF-PLL_同步锁相环_锁相环_锁相环 同步
07-14
基于同步坐标系的自建锁相环模块仿真,dq坐标系与matlab自带模块相差90度,新建的dq坐标系是符合中式习惯坐标系
SSRF_Vulnerable_Lab-master.zip
10-21
备份,github:https://github.com/incredibleindishell/SSRF_Vulnerable_Lab
SSRF_Vulnerable_Lab:本实验包含易受服务器端请求伪造攻击的示例代码
05-12
服务器端请求伪造(SSRF)易受攻击的实验室该存储库包含容易受到服务器端请求伪造(SSRF)攻击PHP代码。 我想对@ albinowax,AKReddy,Vivek Sir(感谢一直以来支持我的杰出人物),Andrew Sir-@vanderaj(感谢他的...
Web渗透测试之SSRF攻击:绕过SSRF过滤
vodkaDL的博客
03-09 2738
文章目录前言 前言
SSRF】如何绕过filter_var(), preg_match() 和 parse_url()
a3320315的博客
10-18 847
0x01 前言 转自:Pino_HD 0x02 代码 <?php echo "Argument: ".$argv[1]."\n"; //check if argument is a valid URL if(filter_var($argv[1], FILTER_VALIDATE_URL)){ //parse URL $r =...
filter_var()函数引起的技术探讨
Panda - 专注于网络空间安全研究 - www.cnpanda.net
06-27 569
0x01 起因 最近在看PHP SECURITY CALENDAR 2017的题目,这是第二题 Day 2 - Twig Can you spot the vulnerability? // composer require "twig/twig" require 'vendor/autoload.php'; class Template { private $twig; public...
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
笑花大王
05-13 1751
简介 原题复现: 考察知识点:无参数命令执行、绕过filter_var(), preg_match() 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 环境复现 目录 www/flag flag文件 www/code/code.php 代码 1 <?php 2 function...
CORS跨域漏洞的学习
weixin_45116657的博客
11-15 3728
从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 浏览器的同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条...
浅谈PHP代码执行中出现过滤限制的绕过执行方法
热门推荐
末初的CSDN博客
01-13 2万+
参考: https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html https://www.leavesongs.com/PENETRATION/webshell-without-alphanum-advanced.html 字符串异或绕过 只适用于PHP5
SSRF详解(包含多种SSRF攻击)
Zyu0
11-28 4807
服务器端请求伪造(也称为 SSRF)是一种 Web 安全漏洞,允许攻击者诱导服务器端应用程序向非预期位置发出请求。在典型的 SSRF 攻击中,攻击者可能会导致服务器连接到组织基础设施内的仅供内部使用的服务。在其他情况下,他们可能会强制服务器连接到任意外部系统,从而可能泄露授权凭证等敏感数据。如果攻击者能够将url参数更改为localhost,这可能允许他们查看服务器上托管的本地资源,从而使其容易受到服务器端请求伪造的攻击。滥用易受攻击的服务器与其他系统之间的信任关系绕过 IP 白名单。
SSRF 漏洞的寻找
WHACKW的专栏
01-04 5405
SSRF 漏洞的寻找 一、从WEB功能上寻找 我们从上面的概述可以看出,SSRF是由于服务端获取其他服务器的相关信息的功能中形成的,因此我们大可以列举几种在web 应用中常见的从服务端获取其他服务器信息的的功能。 1)分享:通过URL地址分享网页内容 早期分享应用中,为了更好的提供用户体验,WEB应用在分享功能中,通常会获取目标URL地址网页内容中的标签或者标签中content的文本内容作
SSRF漏洞之常见Bypass篇
weixin_39664643的博客
02-22 2084
SSRF–(Server-side Request Forge, 服务端请求伪造) 定义:由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务 SSRF漏洞思维导图如下,本篇主要介绍利用SSRF Bypass利用原理与方式 SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户端所传输过来的URL参数进行过滤 一般的防御措施是对URL参数进行过滤,或者使得URL参数用户不可控,但当过滤方法不当时,就存在Bypass的不同方式 通过CTF
Parse error: syntax error, unexpected '[' in E:\phpstudy_pro\WWW\pikachu-master\vul\ssrf\ssrf_curl.php on line 15
最新发布
08-17
这个错误是由于语法错误引起的。在文件ssrf_curl.php的第15行,出现了一个意外的`[`符号,导致解析错误。这种错误通常是因为使用了不兼容的语法或者PHP版本问题。要解决这个问题,可以尝试以下几个步骤: 1. 检查代码是否有语法错误,特别是在第15行附近。确保所有的括号、引号和分号都正确闭合。 2. 检查PHP的版本是否符合代码的要求。某些语法和函数在不同的PHP版本中可能会有不同的语法要求或已经被废弃。 3. 如果你使用的是PHP 5.4及以上版本,并且你的代码中使用了`[]`代替了`array()`,请确保你的PHP版本支持这种写法。 在排除了语法和PHP版本问题后,如果问题仍然存在,可能需要进一步检查代码逻辑或者引用的库文件是否正确导入。如果有其他具体的错误提示或代码片段,可以提供更多的信息以便我提供更准确的解决方案。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Parse error: syntax error, unexpected ‘[‘ in D:\phpstudy_pro\...](https://blog.csdn.net/m0_67503765/article/details/129391240)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [php异常:Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE eval()'d code error](https://download.csdn.net/download/weixin_38688371/13066054)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [Parse error: syntax error, unexpected 'new' (T_NEW) in D:\phpStudy\WWW\test.com\phpExcelReader\Exce](https://blog.csdn.net/zhezhebie/article/details/76974534)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值