目录
由于篇幅原因,源码详见 GITHUB源码链接。同时在这感谢红日安全的分享。因为笔者还是个菜鸡,所以有些地方难免有些错误,请各大佬斧正。同时本篇总结以代码审计为主,部分可能会弱化具体的攻击方法
DAY 1
程序本质 | 文件上传 |
---|---|
漏洞本质 | 函数缺陷导致的任意文件上传漏洞 |
缺陷函数 | in_array函数 |
攻击类型 | 绕过检验 |
众所周知,php是弱类型语言,当未将in_array函数第三个参数设置为true时,默认进行宽松比较。所以函数在执行搜索项时,会将搜索值强制转换成数字类型。漏洞即在此产生。
攻击:
当我们创建一个文件名首数字为1-24之间的文件。即可通过in_array函数判断,导致任意文件上传漏洞。例:7shell.php
DAY 2
程序本质 | 用twig模板的点击获得传入链接程序 |
---|---|
漏洞本质 | 函数缺陷导致的xss漏洞 |
缺陷函数 | filter_var函数 |
攻击类型 | 绕过检验 |
程序采取了两种过滤:
-
Twig模板中的escape过滤。关于过滤详见:Twig中文文档
这里面有一句话:Internally,escape
uses the PHP nativehtmlspecialchars
_ function for the HTML escaping strategy.
意思是使用htmlspecialchars函数。即转义特殊字符为实体 -
get传入的值用filter_var函数过滤。 这里设置的参数为FILTER_VALIDATE_URL。即这里判断传入的是否是url。如果成功,返回已过滤的数据,失败返回false。(伪协议可以绕过此过滤)
针对这两种过滤,思路是使用不带特殊字符的xss payload。考虑伪协议绕过
攻