parse_url小結

本篇文章對parse_url進行一個小結

0x01：parse_url

$url = "/baidu.com:80";
$url1 = "/baidu.com:80a";
$url2 = "//pupiles.com/about:1234";
$url3 = "//baidu.com:80a";

var_dump(parse_url($url));
var_dump(parse_url($url1));
var_dump(parse_url($url2));
var_dump(parse_url($url3));

執行以上代碼：，將得到下面的結果

/home/tr1ple/exp.php:7:
bool(false)
/home/tr1ple/exp.php:8:
array(1) {
  'path' =>
  string(14) "/baidu.com:80a"
}
/home/tr1ple/exp.php:9:
array(3) {
  'host' =>
  string(11) "pupiles.com"
  'port' =>
  int(1234)
  'path' =>
  string(11) "/about:1234"
}
/home/tr1ple/exp.php:10:
array(2) {
  'host' =>
  string(9) "baidu.com"
  'port' =>
  int(80)
}

$url4 = "//upload?/test/";
$url5 = "//upload?/1=1&id=1";
$url6 = "///upload?id=1";

var_dump(parse_url($url4));
var_dump(parse_url($url5));
var_dump(parse_url($url6));

將輸出：

/home/tr1ple/exp.php:6:
array(2) {
  'host' =>
  string(6) "upload"
  'query' =>
  string(6) "/test/"
}
/home/tr1ple/exp.php:7:
array(2) {
  'host' =>
  string(6) "upload"
  'query' =>
  string(9) "/1=1&id=1"
}
/home/tr1ple/exp.php:8:
bool(false)

1.//upload?如果是//，則被解析成host, 後面的內容如果有/,被解析出path，而不是query了

2.如果path部分爲///，則解析錯誤

感想：在實際上bypass的時候可以根據自己的目的多測試，去測試程序解析的反應

parse_url一般會用來解析$SERVER變量，其中幾個變量如下所示：

echo $_SERVER['REQUEST_URI']."<br/>";
echo $_SERVER['QUERY_STRING']."<br/>";
echo $_SERVER['HTTP_HOST']."<br/>";

#訪問http://localhost:3000/php/audit/5/parse1.php?url=baidu.com#test
>>>
/php/audit/5/parse1.php?url=/baidu.com
url=/baidu.com
localhost:3000

REQUEST_URI 是path+query部分(不包含fragment)
QUERY_STRING: 主要是key=value部分
HTTP_HOST 是 netloc+port 部分。

tricks：

1.2017swpu的一道web題

<?php
error_reporting(0);
$_POST=Add_S($_POST);
$_GET=Add_S($_GET);
$_COOKIE=Add_S($_COOKIE);
$_REQUEST=Add_S($_REQUEST);
function Add_S($array){
    foreach($array as $key=>$value){
        if(!is_array($value)){          
            $check= preg_match('/regexp|like|and|\"|%|insert|update|delete|union|into|load_file|outfile|\/\*/i', $value);
            if($check)
                {
                exit("Stop hacking by using SQL injection!");
            }
        }else{
            $array[$key]=Add_S($array[$key]); 
        }
    }
return $array;
}
function check_url()
{
    $url=parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    $key_word=array("select","from","for","like");
    foreach($query as $key)
    {
        foreach($key_word as $value)
        {
            if(preg_match("/".$value."/",strtolower($key)))
            {
                die("Stop hacking by using SQL injection!");
            }
        }
    }
}
?>

我們關注這裏的check_url()函數，首先使用parse_url獲取 $_SERVER['REQUEST_URI'], 而正常的注入payload比如:

http://localhost///web/trick1/parse.php?sql=select

將會被檢測到注入，然而parse_url函數在解析url的時候存在bug，通過///x.php?key=value的方式將返回false，此時將不再進入foreach循環進行判斷，

所以可以進行注入，今年的全國大學生信息安全競賽初賽就出過這一個trick，先繞過parse，然後再反序列化==，做題時當時卡到這了，遇到卡住的點可能就是需要去繞過的點！

2.題目來自2016asisctf的一道web題

<?php 
function waf(){
    $INFO = parse_url($_SERVER['REQUEST_URI']);
    var_dump($INFO);
    var_dump($_GET);
    parse_str($INFO['query'], $query);
    $filter = ["union", "select", "information_schema", "from"];
    foreach($query as $q){
        foreach($filter as $f){
            if (preg_match("/".$f."/i", $q)){ 
                die("attack detected!");
            }
        }
    }

    $sql = "select * from ctf where id='".$_GET['id']."'";
    var_dump($sql);
}
waf();

關注點在$_SERVER['REQUEST_URI'],在parse_解析後，要檢測查詢的參數裏面是否包含sql查詢關鍵字，那麼我們是不是可以構造惡意url使parse按照非預期的進行解析，那麼的確bypass的過程就是如此神奇。。

payload1：

http://localhost//exp.php?/1=1&id=1' union select 1,2,3#

此時parse_url解析後的REQUEST_URI爲：

php7.2測試：

php5.3測試：

解析的不同還和php的版本有關係，那麼在5.3的版本中，此時query將爲空，那麼將繞過過濾，並且此時$_GET方式傳遞過來的id參數的值正是我們想要的payload，7.2版本是先識別查詢符號？,然後把後面的當作查詢字符串，而5.3版本是先把url分段，//到/爲host，/後爲path。參數纔是前後端交互的橋樑，用戶的不可信數據也正是通過參數進行傳遞，tricks也正是用來保護參數不被過濾嗎，7.2將參數首先提取出來，更注重了參數路徑的安全性，越不可信的數據先處理。

payload2：

http://localhost///exp.php?id=1' union select 1,2,3#

php7.2：

從上面兩幅圖中可以看出，這個payload對5.3和7.2都是適用的，返回false來bypass，id參數中包含的payload依然存在！

3.網鼎杯第三場comein

<?php
ini_set("display_errors",0);
$uri = $_SERVER['REQUEST_URI']; // 請求的uri
var_dump($uri);

if(stripos($uri,".")){   // uri中要麼不出現“.” 要麼以“.”開頭
    die("Unkonw URI.");
}

if(!parse_url($uri,PHP_URL_HOST)){  //嘗試解析uri
    $uri = "http://".$_SERVER['REMOTE_ADDR'].$_SERVER['REQUEST_URI'];
    var_dump($uri);
}

$host = parse_url($uri,PHP_URL_HOST);  //再次解析uri
var_dump($host);
if($host === "c7f.zhuque.com"){
   echo "flag  sasa";
}

首先要繞過stripos,開頭爲.即可繞過，第二處使用parse_url來處理uri，即path+query部分，正常的應該是如下圖所示，然後第二個if條件將調用parse_url函數對$uri變量進行處理，提取出其中的host信息，但是其中

明顯不再包含host頭了，所以會拼接上http://，然後再用parse_url進行host的頭的提取，其中$_SERVER['REQUEST_URI']是可控的，並且第一個字符應該爲點.(在BURP中操作)，然後第三個if條件中提取host頭部時，

不能用第二個if條件的拼接的host頭，因爲後面的部分是我們可以控制的，所以注入一個@符號那麼parse_url再次解析的時候將把127.0.0.1.解析成用戶名,@符號後面的將解析成要訪問的網址，然後@後面改爲[email protected]/，但是此時會bad url,因爲apache在解析url時出現了問題，因爲我們並沒有[email protected]/這個目錄，所以還需要調整paylaod同時滿足後端PHP判斷和apache的解析，要滿足apache的解析，只需要跳到一個存在的文件即可，比如index.php，即此時繼續拼接payload，爲[email protected]/..//index.php，/後面的將被解析爲path，其中..//，先跳到和[email protected]同級目錄，然後此目錄下的/index.php，此時才能滿足apache對文件路徑的解析，其中../index.php和.././index.php都不行，因爲apache拼接出來都找不到index.php這個文件

該漏洞出現的原因是，parse_url函數和apache對地址的解析方式不同。

PHP認爲127.0.0.1.是個user，c7f.zhuque.com是真實host

apache認爲127.0.0.1是host，[email protected]/是一個路徑，後邊..//index.php退回根目錄，再訪問index.php

參考：

https://skysec.top/2017/12/15/parse-url%E5%87%BD%E6%95%B0%E5%B0%8F%E8%AE%B0/

https://blog.csdn.net/publicStr/article/details/83004265

https://github.com/jiangsir404/Audit-Learning/blob/master/filter_var%E5%87%BD%E6%95%B0%E7%BC%BA%E9%99%B7.md

DAPPER 事務 TRANSACTION

Java openrasp學習記錄(二)

weblogic-CVE-2020-2551-IIOP反序列化學習記錄

PHP字符逃逸導致的對象注入

JNDI注入與反序列化學習總結

BUUCTF平臺-web-邊刷邊記錄-1

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結