利用PHP的字符串解析特性绕过Waf

原创 已于 2024-04-27 17:03:40 修改 · 346 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

于 2024-03-28 23:06:10 首次发布
文章讲述了如何在RoarCTF2019的EasyCalc1挑战中,通过PHP字符串解析特性绕过安全机制,实现远程代码执行(RCE),并成功读取flag文件的过程。作者提到使用`chr()`函数和特殊的字符组合来避免字符过滤。

我们以[RoarCTF 2019]Easy Calc 1来进行讲解

尝试访问calc.php得到源码如下

尝试给num传参:发现只能传数字 而不能传字母。而我们要读取的可能就是flag这个文件

那我们可以利用PHP的字符串解析特性来绕过WAF,在num前面加上空格

绕过num传参后,我们要读取他根目录下的文件。

也就是

/calc.php?%20num=var_dump(scandir('/'))

却发现他没有返回我们想要的答案,看源码发现‘ ’引号被过滤掉了,那就用chr()绕过,chr(47)就是斜杠/     

/calc.php?%20num=var_dump(scandir(chr(47)))

输入后 可以浏览根目录下的文件,而其中的falgg就是我们要读取的文件

? num=file_get_conten

最低0.47元/天 解锁文章
BoJing6
关注
PHP字符串解析特性绕过WAF
十一.的博客
12-21 402
测试发现当我们提交一些字符时,会直接403。403?!应该就是走私报错了,经测试发现的确存在服务器存在http走私漏洞,可以用来绕waf
http参数污染利用php特性绕过贷齐乐waf
qq_63034068的博客
08-09 815
GET/POST/REQUEST三个变量,都会经过这个正则:select\|insert\|update\|delete\|'\|/\*\|\*\|\.\./\|\./\|union\|into\|load\_file\|outfile。i_d=11111&i_d=22222 ,再获取到的$\_REQUEST i_d就是22222。可在$\_SERVER\['REQUEST\_URI'\]中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$\_REQUEST\['i_d\]却是11111。
php骚姿势,RCEBypass与骚姿势总结
weixin_29800175的博客
03-28 585
本文原作者;小仙人Bypass篇前言:关于RCEBypass,我们应该从哪些角度开展呢。要知道怎么绕过,我们就得知道防火墙的过滤规则才行。那我们想想,在利用RCE漏洞的时候,我们当然想用cat、chmod、whoami、ifconfig、ls等这些操作对不对!像这些敏感命令,防火墙就会进行过滤。还有特殊字符如单引、双引、空格等等,防火墙同样会进行过滤。那我们现在知道那该死的防火墙不让我们输入那些...
一次授权渗透实战
bylfsj的博客
01-13 2282
文章目录前言目标基本信息Getshell过程后缀名校验绕过内容校验绕过内容加密内容混淆总结 前言 很久没有整理实战文章了,恰好这周项目上有一个目标折腾了两天时间,记录分享下其中的心路历程(本次渗透过程均在目标授权下进行,请勿进行非法渗透行为)。 目标基本信息 某政务网站 服务器–windows 数据库–未知 中间件–Tomcat 开发语言–...
PHP字符串解析特性 ($GET/$POST参数绕过)(含例题 buuctf easycalc)
bin789456的博客
09-20 3681
了解一下 PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会做两件事: 1)删除空白符 2)将某些字符转换为下划线(包括空格) 例如: 下面这个图就是测试出来在能够哪些地方添加并得到特殊处理。 通过以上特性,当waf限制get参数类型或者长度等等,我们就可以很轻松的绕过。 参考链接:https://www.freebuf.com/articles/web/213359.html 例题 buuctf-easycalc 打开题目,查看源代码 提示中显示有WAF,同时有一个检验函数,有一个
贷齐乐漏洞复现+php特性绕过WAF
qq_64395221的博客
08-11 1175
GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array(‘&’, ‘"’, ‘’,‘(’,‘)’), array(‘&’, ‘"’, ‘’,‘(’,‘)’), $string),在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF绕过了。中的最后一个参数的转换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
BUUCTF_[RoarCTF 2019]Easy Calc(RCE/waf绕过/PHP字符串解析特性/代码审计)
2401_87524087的博客
02-08 936
打开靶场查看源代码这段代码是用 jQuery 编写的,其主要功能是当 ID 为calc的表单被提交时,阻止表单的默认提交行为,然后通过 AJAX(异步的 JavaScript 和 XML)向calc.php发送一个 GET 请求。请求的参数num是 ID 为content的输入框中的值,并且对该值进行了 URI 编码处理。如果请求成功,会将返回的数据显示在 ID 为result的元素中,以一个带有成功提示样式的 HTML 结构呈现;如果请求失败,会弹出一个警告框提示 “这啥?算不来!
Web1 命令执行(三)
weixin_53896576的博客
02-07 551
7. 无参 RCE 构造 https://blog.youkuaiyun.com/qi_SJQ_/article/details/119457821 算是一种特殊的绕过方式,套娃形式,数学函数的理解,不过未限制长度。 chr():根据ascii码值将数字转换成字符串 get_defined_vars() 获取题目相关变量 print_r() 函数用于打印变量,以更容易理解的形式展示 localeconv():是一个编程语言函数,返回包含本地数字及货币信息格式的数组。其中数组中 的第一个为点号(.) pos():
Waf 绕过手法测试
2401_84466359的博客
06-16 1407
由上到下,waf的检测细腻度依次降低网络层WAF:先拦截流量,进行检测后再转发给应用层WAF:先经过apache/nginx解析后再交给php处理云 WAF(CDN+WAF):简单的看成CDN加上软件WAF的结合体,既可以抗住DDos攻击,也可以过滤出部分简单的Payload攻击代码,甚至对流量也有一定的清洗作用自定义WAF(自己写的一些规则)在系统后台内置一项安全功能以便管理者使用。
RASP技术进阶系列(一):与WAF的“相爱相杀”
qq_53058639的博客
08-24 333
*RASP和WAF最大的区别是:WAF的目的是发现可疑的流量,RASP则是发现具有威胁的行为。由于近期几次大的0day漏洞事件,RASP因其特点,在防护未知攻击方面,发挥了重要的作用。但是RASP并不是要取代WAF,两者是完全不同的技术,各有各的优势,也各有各的不足。WAF作为恪尽职守的哨兵,监视来自外部的可疑入侵;RASP则作为应用的贴身保镖,防御来自内部和外部的致命攻击。面,发挥了重要的作用。但是RASP并不是要取代WAF,两者是完全不同的技术,各有各的优势,也各有各的不足。
【文件上传WAF绕过】<?绕过、.htaccess木马、.php绕过
人若无名,便可专心练剑
02-02 5169
文件上传是指将本地存储在计算机或其他设备上的文件传输到网络上的远程服务器或目标位置的过程。这可以通过多种方式完成,如通过网页表单、FTP(文件传输协议)客户端、云存储服务等。
用最短的payload绕过WAF(入门)
dfdhxb995397的博客
11-02 799
本文作者:jishuzhain <font color=green>想绕过一个WAF,我们可以用最短的payload来做,这里只是基础示例,望各位大佬勿喷,小弟在此谢过。</font> 我在这里先使用一个网页举例。 <script>alert(1)</script> 然后输入经典的payload 拒绝访...
webshell函数回调
zwish的信安之路
07-02 4792
目录 经典一句话 利用简单的拼接字符串 利用php回调函数等技巧绕过WAF的方法(姑且简称“回调后门”吧) 利用 array_filter+base64_decode 2.利用array_map+base64_decode 3.利用uasort+base64_decode 4.利用array_walk+preg_replace 5.利用array_walk_recursive+preg_rep...
绕过waf mysql爆库_waf绕过注入
weixin_29650949的博客
01-30 303
WAF 是什么?全称 Web Application Firewall (WEB 应用防护系统),与传统的 Firewall (防火墙) 不同,WAF 针对的是应用层。安全是一个不断对抗的过程,有防护手段,就有相应的绕过手段。渗透测试过程中,WAF 是必定会遇到的,如何绕过 WAF 就是一个问题。WAF绕过的手段千变万化,分为3类白盒绕过黑盒绕过Fuzz绕过白盒绕过如果绕过:大小写变形:Or,OR...
sql注入 ------- hpp+php绕过waf
m0_59049258的博客
09-02 584
第一层waf将以下关键字都过滤掉了 /select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile/is 第二层waf将以下符号转化为实体编码,其中的两个英文括号转化为中文括号 str_replace(array('&', '"', '', '(', ')'), array('&', '"', '<', '>', '(', ')') 利用php特性绕过这些过滤
【CAN通信】AUTOSAR架构下TC3xx芯片是如何进行模式切换的
qq_36056498的博客
12-14 79
AUTOSAR架构下TC3xx芯片是如何进行模式切换的
WordPress更新警示:Elementor用户请暂缓升级至最新版本
最新发布
wordpress学习笔记
12-15 300
过去几个月里,WordPress官方论坛、Elementor社区以及各大技术支持平台上涌现了大量求助帖,核心问题惊人的一致:“更新WordPress后,我的网站崩溃了!最后,记住这条黄金法则:如果你的网站运行良好且安全,没有迫切需要新功能或安全修补程序,那么“如果没有坏,就不要修理它”这句老话在WordPress更新中同样适用。这是一个复杂的工程挑战,需要时间。数据显示,超过60%出现问题的网站运行的是Elementor 3.10之前的版本,而他们升级到的WordPress版本却是6.2或更高。
Linux【4】:FTP服务搭建
Guardian
12-10 350
ftp服务搭建
绕过WAF:ASP与PHP参数复用漏洞与异常Method利用
异常Method绕过是指利用编程语言特性或异常处理机制来绕过WAF的检查。例如,通过构造特殊的SQL查询,如使用注释符号来隐藏或改变查询语句的结构,使WAF无法正确解析潜在的恶意行为。举了一个针对disuczx版本的内置...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值