一段困扰许久的防注入代码

本文转载自微信公众号「Bypass」，作者Bypass。转载本文请联系Bypass公众号。

我们提供的服务有：成都网站建设、网站建设、微信公众号开发、网站优化、网站认证、改则ssl等。为近千家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务，是有科学管理、有技术的改则网站制作公司

有段时间一直热衷于研究各种waf绕过，一般来说，云WAF可以通过找到网站真实IP来绕过，硬件waf也常因为HTTP协议解析差异导致绕过，但是，代码层的防护往往只能从代码逻辑里寻找绕过思路。

在一些网站通常会在公用文件引入全局防护代码，因此，我收集了网络上常见的PHP全局防护代码进行分析。第一次看到safe3的防注入代码，花了不少时间去研究如何绕过，我在笔记里记下了一句话：如果正面怼正则，实在想不到绕过的方式。

直到前几天，我在T00LS论坛里看到有人也问起了同一段防注入代码的绕过方式，在这个帖子的回复了看到了一个绕过姿势。这也正是安全社区最大的魅力，你总会在别人的回复里找到很有意思的思路或技巧。

绕过思路

利用preg_match函数正则匹配的字符串长度限制绕过，PHP5.3之前preg_match函数阈值默认为10w，PHP5.3开始默认值为100w。

测试情况

(1) safe3 防注入代码

 
 
 
 
  
  
  
    
  
  
  
//Code By Safe3    
  
  
  ini_set('date.timezone','Asia/Shanghai');   
  
  
  function customError($errno, $errstr, $errfile, $errline)   
  
  
  {   
  
  
      echo "Error number: [$errno],error on line $errline in $errfile";   
  
  
      die();   
  
  
  }   
  
  
  set_error_handler("customError",E_ERROR);   
  
  
  $getfilter="'|select|from|(and|or)\\b.+?(>|<|=|in|like)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";   
  
  
  $postfilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";   
  
  
  $cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";   
  
  
  function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){   
  
  
     
  
  
      if(is_array($StrFiltValue))   
  
  
      {   
  
  
          $StrFiltValue=implode($StrFiltValue);   
  
  
      }   
  
  
      if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){   
  
  
          slog("

操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue);   
  
  
          @header("http/1.1 404 not found");    
  
  
          print "404: Not Found";   
  
  
          //slog("

操作IP: ".$_SERVER["REMOTE_ADDR"]."
操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."
操作页面:".$_SERVER["PHP_SELF"]."
提交方式: ".$_SERVER["REQUEST_METHOD"]."
提交参数: ".$StrFiltKey."
提交数据: ".$StrFiltValue);   
  
  
          print "Url里含有非法字符串,属于有误操作!...　您还可以返回首页";   
  
  
    ;exit();   
  
  
      }   
  
  
  }   
  
  
  //$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);   
  
  
  foreach($_GET as $key=>$value){   
  
  
      StopAttack($key,$value,$getfilter);   
  
  
  }   
  
  
  foreach($_POST as $key=>$value){   
  
  
      StopAttack($key,$value,$postfilter);   
  
  
  }   
  
  
  foreach($_COOKIE as $key=>$value){   
  
  
      StopAttack($key,$value,$cookiefilter);   
  
  
  }   
  
  
  function slog($logs)   
  
  
  {   
  
  
      $toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";   
  
  
      $Ts=fopen($toppath,"a+");   
  
  
      fputs($Ts,$logs."\r\n");   
  
  
      fclose($Ts);   
  
  
  }   
  
  
  ?>

(2) 构建一个sql注入点

在页面中引入防注入代码：

 
 
 
 
  
  
  
  require_once('360_safe3.php');

当参数中拼接sql语句时，触发关键字正则匹配导致拦截。

(3) 绕过姿势

PHP测试版本：5.2.17

当填充字符串超过10w的时候，可以绕过防注入代码，获取数据库信息。

PHP测试版本：5.3.29

当填充字符串超过100w的时候，可以绕过防注入代码，获取数据库信息。

当前题目：一段困扰许久的防注入代码
网站URL：http://www.shufengxianlan.com/qtweb/news44/516594.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容