利用PHP的字符串解析特性绕过Waf

原创 已于 2024-04-27 17:03:40 修改 · 278 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

于 2024-03-28 23:06:10 首次发布
文章讲述了如何在RoarCTF2019的EasyCalc1挑战中,通过PHP字符串解析特性绕过安全机制,实现远程代码执行(RCE),并成功读取flag文件的过程。作者提到使用`chr()`函数和特殊的字符组合来避免字符过滤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我们以[RoarCTF 2019]Easy Calc 1来进行讲解

尝试访问calc.php得到源码如下

尝试给num传参:发现只能传数字 而不能传字母。而我们要读取的可能就是flag这个文件

那我们可以利用PHP的字符串解析特性来绕过WAF,在num前面加上空格

绕过num传参后,我们要读取他根目录下的文件。

也就是

/calc.php?%20num=var_dump(scandir('/'))

却发现他没有返回我们想要的答案,看源码发现‘ ’引号被过滤掉了,那就用chr()绕过,chr(47)就是斜杠/     

/calc.php?%20num=var_dump(scandir(chr(47)))

输入后 可以浏览根目录下的文件,而其中的falgg就是我们要读取的文件

? num=file_get_conten

最低0.47元/天 解锁文章

200万优质内容无限畅学
BoJing6
关注
[RoarCTF 2019]Easy Calc - RCE(函数输出)+参数waf绕过(PHP字符串解析特性)
oZuoShen123的博客
10-10 433
1、参数是num,黑名单过滤空格、‘`’、中括号、缩进符等 2、?num=a 报错(被waf了,说明字母会被拦截)   这里就涉及到一个知识点了:PHP字符串解析特性   例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串解析的过程中会将某些字符删除或用下划线代替。   例如:/?%20news[id%00=42会转换为Array([news_id] => 42)。   PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事
绕过waf mysql爆库_waf绕过注入
weixin_29650949的博客
01-30 282
WAF 是什么?全称 Web Application Firewall (WEB 应用防护系统),与传统的 Firewall (防火墙) 不同,WAF 针对的是应用层。安全是一个不断对抗的过程,有防护手段,就有相应的绕过手段。渗透测试过程中,WAF 是必定会遇到的,如何绕过 WAF 就是一个问题。WAF绕过的手段千变万化,分为3类白盒绕过黑盒绕过Fuzz绕过白盒绕过如果绕过:大小写变形:Or,OR...
http参数污染利用php特性绕过贷齐乐waf
qq_63034068的博客
08-09 743
GET/POST/REQUEST三个变量,都会经过这个正则:select\|insert\|update\|delete\|'\|/\*\|\*\|\.\./\|\./\|union\|into\|load\_file\|outfile。i_d=11111&i_d=22222 ,再获取到的$\_REQUEST i_d就是22222。可在$\_SERVER\['REQUEST\_URI'\]中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$\_REQUEST\['i_d\]却是11111。
PHP字符串解析特性绕过WAF
十一.的博客
12-21 355
测试发现当我们提交一些字符时,会直接403。403?!应该就是走私报错了,经测试发现的确存在服务器存在http走私漏洞,可以用来绕waf
php骚姿势,RCEBypass与骚姿势总结
weixin_29800175的博客
03-28 550
本文原作者;小仙人Bypass篇前言:关于RCEBypass,我们应该从哪些角度开展呢。要知道怎么绕过,我们就得知道防火墙的过滤规则才行。那我们想想,在利用RCE漏洞的时候,我们当然想用cat、chmod、whoami、ifconfig、ls等这些操作对不对!像这些敏感命令,防火墙就会进行过滤。还有特殊字符如单引、双引、空格等等,防火墙同样会进行过滤。那我们现在知道那该死的防火墙不让我们输入那些...
一次授权渗透实战
bylfsj的博客
01-13 2243
文章目录前言目标基本信息Getshell过程后缀名校验绕过内容校验绕过内容加密内容混淆总结 前言 很久没有整理实战文章了,恰好这周项目上有一个目标折腾了两天时间,记录分享下其中的心路历程(本次渗透过程均在目标授权下进行,请勿进行非法渗透行为)。 目标基本信息 某政务网站 服务器–windows 数据库–未知 中间件–Tomcat 开发语言–...
贷齐乐漏洞复现+php特性绕过WAF
qq_64395221的博客
08-11 1076
GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array(‘&’, ‘"’, ‘’,‘(’,‘)’), array(‘&’, ‘"’, ‘’,‘(’,‘)’), $string),在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF绕过了。中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
BUUCTF_[RoarCTF 2019]Easy Calc(RCE/waf绕过/PHP字符串解析特性/代码审计)
2401_87524087的博客
02-08 834
打开靶场查看源代码这段代码是用 jQuery 编写的,其主要功能是当 ID 为calc的表单被提交时,阻止表单的默认提交行为,然后通过 AJAX(异步的 JavaScript 和 XML)向calc.php发送一个 GET 请求。请求的参数num是 ID 为content的输入框中的值,并且对该值进行了 URI 编码处理。如果请求成功,会将返回的数据显示在 ID 为result的元素中,以一个带有成功提示样式的 HTML 结构呈现;如果请求失败,会弹出一个警告框提示 “这啥?算不来!
Web1 命令执行(三)
weixin_53896576的博客
02-07 531
7. 无参 RCE 构造 https://blog.youkuaiyun.com/qi_SJQ_/article/details/119457821 算是一种特殊的绕过方式,套娃形式,数学函数的理解,不过未限制长度。 chr():根据ascii码值将数字转换成字符串 get_defined_vars() 获取题目相关变量 print_r() 函数用于打印变量,以更容易理解的形式展示 localeconv():是一个编程语言函数,返回包含本地数字及货币信息格式的数组。其中数组中 的第一个为点号(.) pos():
Waf 绕过手法测试
2401_84466359的博客
06-16 1340
由上到下,waf的检测细腻度依次降低网络层WAF:先拦截流量,进行检测后再转发给应用层WAF:先经过apache/nginx解析后再交给php处理云 WAF(CDN+WAF):简单的看成CDN加上软件WAF的结合体,既可以抗住DDos攻击,也可以过滤出部分简单的Payload攻击代码,甚至对流量也有一定的清洗作用自定义WAF(自己写的一些规则)在系统后台内置一项安全功能以便管理者使用。
sql注入 ------- hpp+php绕过waf
m0_59049258的博客
09-02 518
第一层waf将以下关键字都过滤掉了 /select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is 第二层waf将以下符号转化为实体编码,其中的两个英文括号转化为中文括号 str_replace(array('&', '"', '', '(', ')'), array('&', '"', '<', '>', '(', ')') 利用php特性绕过这些过滤
【文件上传WAF绕过】<?绕过、.htaccess木马、.php绕过
人若无名,便可专心练剑
02-02 4481
文件上传是指将本地存储在计算机或其他设备上的文件传输到网络上的远程服务器或目标位置的过程。这可以通过多种方式完成,如通过网页表单、FTP(文件传输协议)客户端、云存储服务等。
RASP技术进阶系列(一):与WAF的“相爱相杀”
qq_53058639的博客
08-24 270
*RASP和WAF最大的区别是:WAF的目的是发现可疑的流量,RASP则是发现具有威胁的行为。由于近期几次大的0day漏洞事件,RASP因其特点,在防护未知攻击方面,发挥了重要的作用。但是RASP并不是要取代WAF,两者是完全不同的技术,各有各的优势,也各有各的不足。WAF作为恪尽职守的哨兵,监视来自外部的可疑入侵;RASP则作为应用的贴身保镖,防御来自内部和外部的致命攻击。面,发挥了重要的作用。但是RASP并不是要取代WAF,两者是完全不同的技术,各有各的优势,也各有各的不足。
webshell函数回调
zwish的信安之路
07-02 3582
目录 经典一句话 利用简单的拼接字符串 利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧) 利用 array_filter+base64_decode 2.利用array_map+base64_decode 3.利用uasort+base64_decode 4.利用array_walk+preg_replace 5.利用array_walk_recursive+preg_rep...
用最短的payload绕过WAF(入门)
dfdhxb995397的博客
11-02 769
本文作者:jishuzhain <font color=green>想绕过一个WAF,我们可以用最短的payload来做,这里只是基础示例,望各位大佬勿喷,小弟在此谢过。</font> 我在这里先使用一个网页举例。 <script>alert(1)</script> 然后输入经典的payload 拒绝访...
Red靶机攻略
最新发布
duanjiaxu6666的博客
07-27 1393
使用php伪协议访问:http://redrocks.win/NetworkFileManagerPHP.php?建立pass.txt文件,将之前配置文件那个密码放入,然后利用hashcat对应的base64规则去枚举相关的密码,存入passlist.txt中,格式是类似于之前获得的那个密码的,最好利用hydra进行爆破,获得对应的密码。
Android-广播详解
2401_87366139的博客
07-26 959
分类:标准广播是一个完全异步执行的广播,几乎同时的接收器会收到这个广播,效率比较高,无法截断;有序广播是同步执行,同一时刻只有一个接受器才能接受到消息,优先级高的接收器先接受到,同时也可以进行截断。
red靶场
m0_75212639的博客
07-27 462
状态码为500猜测这个页面可能存在漏洞,使用wfuzz测试一下参数,字典也用github上面提供的字典文件,路径换自己上传文件的地址。下载一下,导入到kali中 命令需要修改文件地址,变为你字典放到kali的位置。前面得出hashcat,将密码保存到pass.txt文件使用hashcat规则进行破解。经过查询,Mr. Miessler是github上的一个字典。先写一个pass.txt,将密码保存到当前路径,再执行命令。页面,进行访问,发现是一片空白,说明存在这个页面。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值