tips:from菜鸡队长

这次去打HCTF决赛,用了这个自己写的WAF,web基本上没被打,被打的漏洞是文件包含漏洞,这个功能在本人这个waf里确实很是捉急,由于只是简单检测了..和php[35]{0,1},导致比赛由于文件包含漏洞web上失分了一次。不过现在不是很想去改进了。这个是比赛专用waf,商业价值几乎为0。

如果是框架写出的web就很好部署了,直接require在重写文件或者数据库文件中,如果是零散的php文件,那也有办法,如果是fastcgi(nginx,IIS比较常见)运行的php就在.user.ini加一句,具体百度一下.user.ini的后门,原理一样。其他情况也可以写个脚本强行在每个PHP前面加一句,脚本代码的样例也会放出来。(当然apache也可以.htaccess强行重写到waf再转回原页面,但是万一没重写环境呢)

具体代码如下:

<?php

//error_reporting(E_ALL);

//ini_set('display_errors', 1);

/*

** 线下攻防php版本waf

**

** Author: 落

*/

/*

检测请求方式,除了get和post之外拦截下来并写日志。

*/

if($_SERVER['REQUEST_METHOD'] != 'POST' && $_SERVER['REQUEST_METHOD'] != 'GET'){

    write_attack_log("method");

}

$url = $_SERVER['REQUEST_URI']; //获取uri来进行检测

$data = file_get_contents('php://input'); //获取post的data,无论是否是mutipart

$headers = get_all_headers(); //获取header

filter_attack_keyword(filter_invisible(urldecode(filter_0x25($url)))); //对URL进行检测,出现问题则拦截并记录

filter_attack_keyword(filter_invisible(urldecode(filter_0x25($data)))); //对POST的内容进行检测,出现问题拦截并记录

/*

检测过了则对输入进行简单过滤

*/

foreach ($_GET as $key => $value) {

    $_GET[$key] = filter_dangerous_words($value);

}

foreach ($_POST as $key => $value) {

    $_POST[$key] = filter_dangerous_words($value);

}

foreach ($headers as $key => $value) {

    filter_attack_keyword(filter_invisible(urldecode(filter_0x25($value)))); //对http请求头进行检测,出现问题拦截并记录

    $_SERVER[$key] = filter_dangerous_words($value); //简单过滤

}

/*

获取http请求头并写入数组

*/

function get_all_headers() {

    $headers = array(); 

    foreach($_SERVER as $key => $value) {

        if(substr($key, 0, 5) === 'HTTP_') {

            $headers[$key] = $value;

        }

    } 

    return $headers;

} 

/*

检测不可见字符造成的截断和绕过效果,注意网站请求带中文需要简单修改

*/

function filter_invisible($str){

    for($i=0;$i<strlen($str);$i++){

        $ascii = ord($str[$i]);

        if($ascii>126 || $ascii < 32){ //有中文这里要修改

            if(!in_array($ascii, array(9,10,13))){

                write_attack_log("interrupt");

            }else{

                $str = str_replace($ascii, " ", $str);

            }

        }

    }

    $str = str_replace(array("`","|",";",","), " ", $str);

    return $str;

}

/*

检测网站程序存在二次编码绕过漏洞造成的%25绕过,此处是循环将%25替换成%,直至不存在%25

*/

function filter_0x25($str){

    if(strpos($str,"%25") !== false){

        $str = str_replace("%25", "%", $str);

        return filter_0x25($str);

    }else{

        return $str;

    }

}

/*

攻击关键字检测,此处由于之前将特殊字符替换成空格,即使存在绕过特性也绕不过正则的\b

*/

function filter_attack_keyword($str){

    if(preg_match("/select\b|insert\b|update\b|drop\b|delete\b|dumpfile\b|outfile\b|load_file|rename\b|floor\(|extractvalue|updatexml|name_const|multipoint\(/i", $str)){

        write_attack_log("sqli");

    }

    //此处文件包含的检测我真的不会写了,求高人指点。。。

    if(substr_count($str,$_SERVER['PHP_SELF']) < 2){

        $tmp = str_replace($_SERVER['PHP_SELF'], "", $str);

        if(preg_match("/\.\.|.*\.php[35]{0,1}/i", $tmp)){

            write_attack_log("LFI/LFR");;

        }

    }else{

        write_attack_log("LFI/LFR");

    }

    if(preg_match("/base64_decode|eval\(|assert\(/i", $str)){

        write_attack_log("EXEC");

    }

    if(preg_match("/flag/i", $str)){

        write_attack_log("GETFLAG");

    }

}

/*

简单将易出现问题的字符替换成中文

*/

function filter_dangerous_words($str){

    $str = str_replace("'", "‘", $str);

    $str = str_replace("\"", "“", $str);

    $str = str_replace("<", "《", $str);

    $str = str_replace(">", "》", $str);

    return $str;

}

/*

获取http的请求包,意义在于获取别人的攻击payload

*/

function get_http_raw() {

    $raw = ''; 

    $raw .= $_SERVER['REQUEST_METHOD'].' '.$_SERVER['REQUEST_URI'].' '.$_SERVER['SERVER_PROTOCOL']."\r\n"; 

    foreach($_SERVER as $key => $value) {

        if(substr($key, 0, 5) === 'HTTP_') {

            $key = substr($key, 5);

            $key = str_replace('_', '-', $key);

            $raw .= $key.': '.$value."\r\n";

        }

    }

    $raw .= "\r\n";

    $raw .= file_get_contents('php://input');

    return $raw;

}

/*

这里拦截并记录攻击payload

*/

function write_attack_log($alert){

    $data = date("Y/m/d H:i:s")." -- [".$alert."]"."\r\n".get_http_raw()."\r\n\r\n";

    $ffff = fopen('log_is_a_secret_file.txt', 'a'); //日志路径

    fwrite($ffff, $data);

    fclose($ffff);

    if($alert == 'GETFLAG'){

        echo "HCTF{aaaa}"; //如果请求带有flag关键字,显示假的flag。(2333333)

    }else{

        sleep(15); //拦截前延时15秒

    }

    exit(0);

}

?>

HCTF时PHP WAF然有RLFI漏洞的更多相关文章

  1. 绕过WAF进行常见Web漏洞利用

    前言 本文以最新版安全狗为例,总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法. PS:本文仅用于技术研究与讨论,严禁用于任何非法用途,违者后果自负,作者与平台不承担任何责任 PPS:本 ...

  2. 一个账户接管几乎所有阿里巴巴网站(CSRF漏洞+WAF绕过)

    场景 文章是关于某些客户端漏洞导致几个阿里巴巴网站的帐户被接管. 条件 TL;DR 必要条件,例如JSONP,某些浏览器处理cookie等行为. 攻击原理 大多数阿里巴巴的网站加载并执行外部JavaS ...

  3. 业务安全通用解决方案——WAF数据风控

    业务安全通用解决方案——WAF数据风控 作者:南浔@阿里云安全 “你们安全不要阻碍业务发展”.“这个安全策略降低用户体验,影响转化率”——这是甲方企业安全部门经常听到合作团队抱怨.但安全从业者加入公司 ...

  4. [转]Web应用防火墙WAF详解

    通过nginx配置文件抵御攻击 0x00 前言 大家好,我们是OpenCDN团队的Twwy.这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果. 其实很多时候,各种防攻击的思路我们都明 ...

  5. CVE-2017-7269—IIS 6.0 WebDAV远程代码执行漏洞分析

    漏洞描述: 3月27日,在Windows 2003 R2上使用IIS 6.0 爆出了0Day漏洞(CVE-2017-7269),漏洞利用PoC开始流传,但糟糕的是这产品已经停止更新了.网上流传的poc ...

  6. ngx_lua模块学习示例之waf

    转自:http://www.tuicool.com/articles/FbQ3ymB WAF的主要功能为: ip黑白名单 url黑白名单 useragent黑白名单 referer黑白名单 常见web ...

  7. WAF攻击与防御

    背景 对于腾讯的业务来说,有两个方面决定着WAF能否发挥效果,一个是合适处理海量流量的架构,另一个关键因素则是规则系统.架构决定着WAF能否承受住海量流量的挑战,这个在之前的篇章中简单介绍过(详情见主 ...

  8. 基于ngx_lua模块的waf开发实践

    0x00 常见WAF简单分析 WAF主要分为硬件WAF和软件防火墙,硬件WAF如绿盟的NSFOCUS Web Application Firewall,软件防火墙比较有名的是ModSecurity,再 ...

  9. [CMS漏洞]EmpireCMS_V7.5的一次审计【转载】

    i春秋作家:Qclover 原文来自:EmpireCMS_V7.5的一次审计 0x01 概述 最近在做审计和WAF规则的编写,在CNVD和CNNVD等漏洞平台寻找各类CMS漏洞研究编写规则时顺便抽空对 ...

随机推荐

  1. Oracle如何实现创建数据库、备份数据库及数据导出导入的一条龙操作

    Oracle中对数据对象和数据的管理,无疑都是使用PL/SQL Developer来进行管理,该工具也提供给我们很多方便.快捷的操作,使得我们不再为Oracle本身丑陋.难用的UI而抱怨.由于我们一般 ...

  2. sqoop使用中的小问题

    1.数据库连接异常 执行数据导出 sqoop export --connect jdbc:mysql://192.168.208.129:3306/test --username hive --P - ...

  3. .NET架构设计、框架设计系列文章总结

    从事.NET开发到现在已经有七个年头了.慢慢的可能会很少写.NET文章了.不知不觉竟然走了这么多年,热爱.NET热爱c#.突然想对这一路的经历进行一个总结. 是时候开始下一阶段的旅途,希望这些文章可以 ...

  4. C预定义宏

    作用:对于__FILE__,__LINE__,__func__这样的宏,在调试程序时是很有用的,因为你可以很容易的知道程序运行到了哪个文件的那一行,是哪个函数. 下面一个例子是打印上面这些预定义的宏的 ...

  5. Python简单爬虫入门二

    接着上一次爬虫我们继续研究BeautifulSoup Python简单爬虫入门一 上一次我们爬虫我们已经成功的爬下了网页的源代码,那么这一次我们将继续来写怎么抓去具体想要的元素 首先回顾以下我们Bea ...

  6. js 输出数组最大值

    ,,,,]; ]; ; i < run.length; i++) { if (max<run[i]) { max=run[i]; }else{ max=max; } } alert(max ...

  7. web服务器选择Apache还是Nginx

    首先我们来谈谈老朋友Apache,Apache HTTP Server(简称Apache)是世界使用排名第一的Web服务器软件,音译为阿帕奇,是Apache软件基金会的一个开放源码Web服务器,可以运 ...

  8. spring的路径通配符

    Spring提供了强大的Ant模式通配符匹配,从同一个路径能匹配一批资源. Ant路径通配符支持"?"."*"."**",注意通配符匹配不包 ...

  9. [Django]模型学习记录篇--基础

    模型学习记录篇,仅仅自己学习时做的记录!!! 实现模型变更的三个步骤: 修改你的模型(在models.py文件中). 运行python manage.py makemigrations ,为这些修改创 ...

  10. Linux 内核进程管理之进程ID

    Linux 内核使用 task_struct 数据结构来关联所有与进程有关的数据和结构,Linux 内核所有涉及到进程和程序的所有算法都是围绕该数据结构建立的,是内核中最重要的数据结构之一.该数据结构 ...