2. 程式人生 > >PHP的兩個特性導致waf繞過注入(有趣的知識點)

PHP的兩個特性導致waf繞過注入(有趣的知識點)

阿新 發佈:2019-02-12
1、HPP HTTP引數汙染 HTTP引數汙染指的是,在URL中提交相同鍵值的兩個引數時,伺服器端一般會進行一些處理。比如Apache就要以最後一個引數為準,比如: user.php?id=111&id=222 如果輸出$_GET陣列,則id的值只會取222,即URL上提交的多餘值覆蓋了前一個值。 2、一個CTF題目

關於注入的waf繞過,注入點為:

$sql="select * from user where id=".$_REQUEST["id"].";";
可以看到了REQUEST進行傳遞,並且存在如下的waf程式碼: 
functionwaf($str) {
    if(stripos($str,"select")!==false)
        die("Be a good person!");
    if(stripos($str,"union")!==false)
        die("Be a good person!");
    ......
}  
 
functionwafArr($arr) {
    foreach($arras$k=> $v) {
        waf($k);
        waf($v);
    }
}  
 
wafArr($_GET);
wafArr($_POST);
wafArr($_COOKIE);
wafArr($_SESSION); 
 
functionstripStr($str) {
    if(get_magic_quotes_gpc())
        $str= stripslashes($str);
    returnaddslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));
}  
 
$uri= explode("?",$_SERVER['REQUEST_URI']);
if(isset($uri[1])) {
    $parameter= explode("&",$uri[1]);
    foreach($parameteras$k=> $v) {
        $v1= explode("=",$v);
        if(isset($v1[1])) {
            $_REQUEST[$v1[0]] = stripStr($v1[1]);
        }
    }
}  
 
functionstripArr($arr) {
    $new_arr= array();
    foreach($arras$k=> $v) {
        $new_arr[stripStr($k)] = stripStr($v);
    }
    return$new_arr;
}  
 
$_GET=stripArr($_GET);
$_POST=stripArr($_POST);
$_COOKIE=stripArr($_COOKIE);
$_SESSION=stripArr($_SESSION);
這裡使用了waf函式分別對GET POST SESSION COOKIE資料進行過濾,並且對這些全域性陣列進行轉義。 值得注意的是,這裡的$_REQUEST是程式碼中重新根據$_SERVER['REQUEST_URI']進行拼接,在拼接過程中將引數值進行轉義操作。 (1)思路1  使用HPP特性 看似不太可能存在注入,但是使用HPP可以實現。 示例程式碼: 
user.php?id=0 or 1&id%00=1
user.php?id=0 or 1&%20id=1
user.php?id=0 or 1?&id=1
測試程式碼: 
<?php 

function stripArr($arr) {
    $new_arr = array();
    foreach ($arr as $k => $v) {
        $new_arr[stripStr($k)] = stripStr($v);
    }
    return $new_arr;
}

function stripStr($str) {
    if (get_magic_quotes_gpc())
        $str = stripslashes($str);
    return addslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));
}

$uri = explode("?",$_SERVER['REQUEST_URI']);
if(isset($uri[1])) {
    $parameter = explode("&",$uri[1]);
    foreach ($parameter as $k => $v) {
        $v1 = explode("=",$v);
        if (isset($v1[1])) {
            $_REQUEST[$v1[0]] = stripStr($v1[1]);
        }
    }
}
var_dump($_GET) ;

var_dump($_REQUEST) ;

?>
輸出結果:

可以看到,這裡的GET陣列取到了最後一個值,不會觸發waf,而REQUEST資料中,id則為我們的注入語句,這樣 利用這兩者之間的差異,我們可以繞過waf函式的檢測,並且利用之前的注入點來實現注入。 (2)思路2: 利用#特性($_SERVER['REQUEST_URI']) 在瀏覽器中,是不會將#號之後的hash內容傳送給伺服器的,這裡利用burp發包,可以將hash的內容傳送至伺服器,比如傳送: /#?id=1 這裡GET陣列為空,REQUEST則輸出為/#?id=1,這樣,就可以繞過waf函式對GET陣列的判斷, 並且在REQUEST(這裡主要因為REQUEST陣列是使用了REQUEST_URI進行了重組)中攜帶注入的語句,繞過了waf檢測。

3、總結 這種特性導致的漏洞場景比較特殊,首先,CTF中模擬的場景是waf函式只對GET,POST,SESSION,COOKIES全域性陣列進行的處理,注入點為REQUEST,在場景中,程式碼對REQUEST陣列通過$_SERVER['REQUEST_URI'],使用&分割重新組裝的,這種程式碼處理可能是由於程式設計師想對REQUEST陣列進行轉義或者一些淨化處理才加進來的。 利用: (1)HPP特性,提交重複引數內容,PHP處理引數時會覆蓋,但是程式拼接時會出現差異, 比如提交:http://127.0.0.1/shell.php?id=0 or 1&id%00=1 GET為id=1,REQUEST為: 
  'id' =>'0%20or%201'(length=10)
  'id%00' =>'1'(length=1)
可以看到,成功將注入內容引入到REQUEST陣列中。 (2)利用#符號,#後面的內容不會帶入至GET陣列中,但是會出現在REQUEST_URI中,所以可以利用這個特性將注入語句帶入到REQUEST物件中。 總之,這種特性導致的漏洞場景比較特殊,但是確實比較有趣。

相關推薦

PHP特性導致waf繞過注入有趣知識點

1、HPP HTTP引數汙染 HTTP引數汙染指的是,在URL中提交相同鍵值的兩個引數時,伺服器端一般會進行一些處理。比如Apache就要以最後一個引數為準,比如: user.php?id=111&id=222 如果輸出$_GET陣列,則id的值只會取222,即UR

php獲取陣列相同的元素交集以及比較陣列中不同的元素差集

(一)php獲取兩個陣列相同元素   array  array_intersect(array  $array1, array $array2, [, array $...])       array  array_int

IO練習 文件夾進行copy含子目錄

nts pan tor 拷貝 style copy str1 子目錄 red 1 //從鍵盤接收兩個文件夾路徑,把其中一個文件夾中(包含內容)拷貝到另一個文件夾中 2 @Test 3 public void t6(){ 4 //1)

7-1 有序序列的中位數 25 分

已知有兩個等長的非降序序列S1, S2, 設計函式求S1與S2並集的中位數。有序序列A​0​​,A​1​​,⋯,A​N−1​​的中位數指A​(N−1)/2​​的值,即第⌊(N+1)/2⌋個數(A​0​​為第1個數)。 輸入格式: 輸入分三行。第一行給出序列的公共長度N(0<N≤10

leetcode演算法題—golang—排序陣列的中位數題4

題目:兩個排序陣列的中位數 給定兩個大小為 m 和 n 的有序陣列 nums1 和 nums2 。 請找出這兩個有序陣列的中位數。要求演算法的時間複雜度為 O(log (m+n)) 。 你可以假設 nums1 和 nums2 不同時為空。 示例 1: nums1 =

有序序列的中位數詳解

1. 實踐題目 7-3 兩個有序序列的中位數 2. 問題描述 在一行中輸出兩個輸入序列的並集序列的中位數。時間複雜度不能大於O(logn) 3. 演算法描述(不能貼上程式) 因為時間複雜度不能大

有序序列的中位數二分搜尋

問題: 已知有兩個等長的非降序序列S1, S2, 設計函式求S1與S2並集的中位數。有序序列A​0​​,A​1​​,⋯,A​N−1​​的中位數指A​(N−1)/2​​的值,即第⌊(N+1)/2⌋個數(A​0​​為第1個數)。 演算法描述: ① 輸入兩個長度自定且等長的

有序序列的中位數30 分

已知有兩個等長的非降序序列S1, S2, 設計函式求S1與S2並集的中位數。有序序列A​0​​,A​1​​,⋯,A​N−1​​的中位數指A​(N−1)/2​​的值,即第⌊(N+1)/2⌋個數(A​0​​為第1個數)。輸入格式:輸入分三行。第一行給出序列的公共長度N(0<

7-1 有序序列的中位數25 分

已知有兩個等長的非降序序列S1, S2, 設計函式求S1與S2並集的中位數。有序序列A​0​​ ,A1,⋯,A​N−1的中位數指A​(N−1)/2的值,即第⌊(N+1)/2⌋個數(A​0為第1個數)。 輸入格式: 輸入分三行。第一行給出序列的公共長度N(0

【C語言】給定整型變數的值,將值的內容進行交換不同方法

     給定兩個整型變數的值,將兩個值的內容進行交換,現在我介紹幾種不同的實現方法:法1:在主函式裡實現,這樣操作這兩個值時並未重新開闢空間,直接交換可以達到目的。#include<stdio.h> #include<stdlib.h> int m

資料庫表資料實時同步sql2008 觸發器

/****** Object:  Trigger [dbo].[TR_C0T14]    Script Date: 11/01/2011 13:21:04 ******/ SET ANSI_NULLS ON GO SET QUOTED_IDENTIFIER ON GO -

Oracle獲取日期之間的所有日期年-月

前言:在外漂泊,還是身體為重,健康是第一,因為自己扁桃體反覆化膿,做了手術,目前感覺恢復的差不多了,繼續學習和分享。 今天分享的是,使用oracle來查詢兩個日期之間的所有日期,此處指的日期格式是YY

Select選擇器實現聯動vue+element

1.需求:點選某個裝置組獲取該裝置組的所有的商品。 2.效果圖: 3.實現: (1)前端 <el-selec

PHP常見不常用的方法 method_exists call_user_func

php class str log 索引 truct all array blog method_exists判斷方法是否存在 <?php class F{ public function __construct(){ if(method_

php 值進行比較的問題

pes 和數 number 行數 類型 不同 否則 自己的 介紹 php手冊運算符中有介紹: 比較多種類型-- 如var_dump([ ] > 0); // 結果為true 運算數 1 類型運算數 2 類型結果 null 或 string string 將

PHP 日期時間段 之間的日期陣列

在開發過程中會遇到這樣一個需求:獲取2018-11-02到2018-11-15之間的日期陣列 希望得到如下陣列: Array ( [0] => 2018-11-02 [1] => 2018-11-03 [2] => 2018-11-04

ScrollView巢狀RecyclerView 導致滑動卡頓不流暢的原因

       專案中展示兩個RecyclerView ,所以在 ScrollView下嵌套了兩個,完成後發現介面滑動不流暢,還會出現卡頓的情況,嚴重影響了使用者的使用。網上查詢資料,經測試目前有兩種方法解決: 1、recyclerView.setNestedScrollin

PHP陣列相加如何合併?

//加號使兩個數組合並,以前面的陣列為基礎,相同下標取第一個陣列的值 <?php   $a = array('a'=>1,'b'=>2,'c'=>3);   $b = arr

memcached的安裝以及php擴充套件軟體memcache、memcached的安裝

https://www.cnblogs.com/brishenzhou/p/6140699.html 1、安裝memcached Memcached是基於libevent的事件處理,所以它的安裝依賴libevent。因此我們首先需要將libevent安裝好,

導致程式崩潰的注意點

    某次設定網路引數的時候,我用setObject:forKey:設定,發現每次程式執行到網路請求部分就崩潰,當時以為是網路請求完的結果處理不當導致的。經過斷點發現每次執行到setObject:forKey:的時候就崩潰。於是發現自己平常使用setObject:forKey:和setValue:forK