之前在很多的网站都看到了360webscan的攻击拦截脚本,正好分析并学习一下。
下载地址:http ://webscan.360.cn/protect/down?domain = blog.dyboy.cn
最后一个domain
参数更改自己的线上网站域名
为了本地测试:我下载http://webscan.360.cn/protect/down?domain=www.test.com
0x01安装
将下载的360webscan.zip
解压后,得到360safe
文件夹,并上传至网站根目录
在上方加载的文件中(示例网站根目录下:)index.php
,加入如下代码:
if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){ require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php'); } //注意文件路径
访问:http : //www.test.com/360safe/360webscan.php后数据:webscan_act=ckinstall
但是并没有出现安装信息,原因是:http : //safe.webscan.360.cn
该域名已经无法访问(后面涉及到该网址的函数都不能够正常执行),因此着重分析拦截过滤的一个过程。
看到这个脚本文件的最后编辑时间为2014年…
0x02结构分析
在webscan_cache.php
中
默认拦截,POST/GET/COOKIE/REFERER
这四个参数
同时还有白名单功能
// url白名单,可以自定义添加url白名单,或者是对phpcms的后台URL放行//写法:phpphps后台操作url index.php?m = admin php168的文章提交链接post.php?job = postnew&step = post,dedecms空间设置edit_space_info.php $ webscan_white_url = 数组('index.php' => 'm = admin' ,'post.php' => 'job = postnew&step = post' ,'edit_space_info.php' => ' ' );
很清晰的解释了
再看 360webscan.php
所有的过滤规则以及函数实现都在此文件
0x03功能测试
在按照上述安装方法安装后,测试访问:http://www.test.com/index.php?test=<script>alert(1)</script>
XSS拦截显示:
例如注入等都会被拦截
0x04拦截规则
// get拦截规则 $ getfilter = “ \ <。+ javascript:window \ [。{1} \\ x | <。* =(&#\ d +?;?)+?> | <。 *(data | src)= data:text \ / html。*> | \ b(alert \(| confirm \(| expression \(| prompt \(| benchmark s *?(。 * )| sleep s *?(。* )| load_file s *?\()| <[az] +?\ b [^>] *?\ bon([az] {4 ,}) s *?= | ^ \ + \ / v(8 | 9)| \ b(and | or)\ b \ s *?([\(\)'“ \ d] +?= [\(\)'“ \ d] +?| [\(\)'” a-zA-Z] +?= [\(\) '“ a-zA-Z] +?|> | <| s +?[\ w] +?\ s +?\ bin \ b \ s *?(| \ blike \ b \ s +?[“'])| \ / \ *。* \ * \ / | <\ s *脚本\ b | \ bEXEC \ b | UNION。+?SELECT s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。*?(`|'| ” ) s *)| UPDATE s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。 *?(`|'| “) s *)SET | INSERT \ s + INTO。+?VALUES |(SELECT | DELETE)@ {0,2}(\(。+ \)| \ s +?。+?\ s +?|(`|'| “)。*?(`|'| “))FROM(\(。+ \)| \ s +?。+?|(`|'| ”)。*?(`|'| “))|(CREATE | ALTER | DROP | TRUNCATE)\ s +(TABLE | DATABASE)“ ; // post拦截规则 $ postfilter = “ <。* =(&#\ d +?;?)+?> | <。* data = data:text \ / html。*> | \ b(alert \ (|确认\(|表达式\(|提示\(|基准 s *?(。* )| sleep s *?(。* )| load_file s *?\() | <[^>] *?\ b(onerror | onmousemove | onload | onclick | onmouseover)\ b | \ b(and | or)\ b \ s *?([\(\) '“ \ d] +?= [\(\)'” \ d] +?| [\(\)'“ a-zA-Z] +?= [\( \)'“ a-zA-Z] +?|> | <| s +?[\ w] +?\ s +?\ bin \ b \ s *?(| \ blike \ b \ s +?[“'])| \ / \ *。* \ * \ / | <\ s * script \ b | \ bEXEC \ b | UNION。+? SELECT s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。*?(`|' | “) s *)| UPDATE s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。*?(`|'| ”) s *)SET | INSERT \ s + INTO。+?VALUES |(SELECT | DELETE)(\(。+ \)| \ s +?。 +?\ s +?|(`|'| “)。*?(`|'| ”))FROM(\(。+ \)| \ s +?。+?|(`|'| “)。*?(`|'| ”))|(CREATE | ALTER | DROP | TRUNCATE)\ s +(TABLE | DATABASE)“ ; // cookie拦截规则 $ cookiefilter = “基准 s *?(。* )| sleep s *?(。* )| load_file s *?\(| \ b(and | or)\ b \ s *?([[\(\)'“ \ d] +?= [\(\)'” \ d] +?| [\(\)'“ a- zA-Z] +?= [\(\)'“ a-zA-Z] +?|> | <| s +?[\ w] +?\ s +?\ bin \ b \ s *?(|| blike \ b \ s +?[“'])| \ / \ *。* \ * \ / | <\ s * script \ b | \ bEXEC \ b | UNION。+?SELECT s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|' | “)。*?(`|'| ”) s *)| UPDATE s *((。+ ) s * | @ {1,2}。+? s * | s + ?。+?|(`|'| “)。*?(`|'| ”) s *)SET | INSERT \ s + INTO。+?VALUES |(SELECT | DELETE)@ {0, 2}(\(。+ \)| \ s +?。+?\ s +?|(`|'| “)。*?(`|'| ”))FROM(\(。 + \)| \ s +?。+?|(`|'| “)。*?(`|'| ”))|(CREATE | ALTER | DROP | TRUNCATE)\ s +(TABLE | DATABASE )“ ;//获取指令 $ webscan_action = isset ($ _POST [ 'webscan_act' ])&& webscan_cheack () ?修剪($ _POST [ 'webscan_act' ]):'' ; // referer获取 $ webscan_referer = 空($ _SERVER [ 'HTTP_REFERER' ])吗?array ():array ('HTTP_REFERER' => $ _SERVER [ 'HTTP_REFERER' ]);
0x05运行分析
在程序的底部初始化函数,过滤判断变量参数是否存在非法攻击字符串,如果是在白名单目录下(webscan_white()
函数),就不会调用第二层的判断(替代拦截方式)
继续跟进:webscan_white()
/ ** *拦截目录白名单 * / 函数webscan_white ($ webscan_white_name ,$ webscan_white_url = array ()){ $ url_path = $ _SERVER [ 'SCRIPT_NAME' ]; // 恢复之前是PHP_SELF $ url_var = $ _SERVER [ 'QUERY_STRING' ]; 如果(的preg_match (“/” 。$ webscan_white_name 。“/是” ,$ url_path )== 1 &&!空($ webscan_white_name )){ 返回假 ; } foreach ($ webscan_white_url as $ key => $ value ){ if (!empty ($ url_var )&&!empty ($ value )){ if (stristr ($ url_path ,$ key )&& stristr ($ url_var ,$ value ) ){ 返回false ; } } elseif (空($ url_var )&& 空($ value )) { if (stristr ($ url_path ,$ key )){ 返回false ; } } } 返回真; }
1.如果你输入/test.php/123456
的话$_SERVER['SCRIPT_NAME']
结果是/test.php
。所以为了安全起见,为了指向自身,应该用$_SERVER['SCRIPT_NAME']
2. $_SERVER['QUERY_STRING']
获取?
后面的字符串,例如:index.php?action=login&username=123&pass=123
,那么获取的结果就是:action=login&username=123&pass=123
3. preg_mactch
函数:搜索subject
与pattern
给定的正则表达式的一个匹配。
参考:http ://php.net/manual/zh/function.preg-match.php int preg_match (字符串$ pattern ,字符串$ subject [,array &$ matches [,int $ flags = 0 [,int $ offset = 0 ]]] )
正则语法:http : //php.net/manual/zh/reference.pcre.pattern.syntax.php
翻译了一下
正则表达式快速参考 [ ABC ] 单个字符:一个,b 或c ^ 单独的字符[^ ABC ] 的任何单个字符,但一个,b ,或c ^ 匹配字符除了ABC [ 一- ž ] 的任何单个字符中的范围内的- ž 匹配a 到z 的字符[ a - zA - Z ] 任意 单个字符在范围内的- ž 或甲- ž 匹配一个到ž 或阿到ž 的字符^ 开始线的 一行的开始 $ 结束线的 一行的结束 A 开始的字符串字符串开头 ž 结束的字符串字符串结尾。任何单个字符任何字符 s 任何空格字符任何空白字符 S 任何非- 空白字符 任何非空白字符 d 任何数字 任何数字 d 任何非- 数字 任何非数字 W 任何字字符(字母,数字,下划线)任何的单词字符(字母,数字,下划线) W 任何非- 单词字符 任何非单词字符 b 的任何单词边界字符 任何单词边界字符(...)捕捉一切封闭 捕获所未包裹有内容( 一个| b ) a 或ba 或b 一个?零或a 有0 个或1 个字符a 一个* 零或更多的 有0 个或多个字符一 a + 一个或多个a 有一个或多个字符a 一个{ 3 } 恰好3 的 有3 个字符一个 a { 3 ,} 3个或更多的a 有3 个或多个字符a 一个{ 3 ,6 } 间3 和6 的一个 有3 到6 个字符一个 选项:我的情况下不区分大小写M造成点匹配换行符X忽略空格的正则表达式。ο执行#{...}换人只有一次 可选设置:i 不区分大小写,m ..(点符号)匹配换行符,x 忽略正则表达式中的空格,o 只执行一次#{...}中内容替换
其中的\
等价于
\\
等价于\
等价于/
4. strsti()
函数:返回haystack
字符串从needle
第一次出现的位置开始到结尾的字符串。
参考:http ://php.net/manual/zh/function.stristr.php 字符串stristr (字符串$ haystack ,混合$ needle [,bool $ before_needle = FALSE ] )
在整个白名单判断函数中,如果匹配上了,那么就返回false
,就不做拦截检测,针对白名单这一点其实是有漏洞可绕过的,传递的第一个参数$webscan_white_name
是一个参数参数在webscan_cache.php
文件中
//后台白名单,后台操作将不会被拦截,添加“ |”替换白名单目录下面的位置是网址带`admin``/ dede /`放行`$ webscan_white_directory ='admin | / dede /'` ;
这样的话,那么我们只要在admin
或者dede
目录下的任何操作都不会被拦截。如果存在后台注入的话,同时在后台添加了白名单,那么拦截就不再有效果了。
同时提一点:如上代码,注释了一下$url_path=$_SERVER['SCRIPT_NAME']; //修复之前是PHP_SELF
,这里存在一个安全问题,直接引用一下离别歌大佬的博文:
然后再给大家说明一下$ _SERVER [ 'PHP_SELF' ]是什么:
PHP_SELF 指当前的页面绝对地址,此类我们的网站:
https ://www.leavesongs.com/hehe/index.php 那么PHP_SELF 就是/ hehe / 索引。PHP的。但有个小问题很多人没有注意到,当URL 是PATH_INFO 的时候,比如
HTTPS ://www.leavesongs.com/hehe/index.php/phithon 那么PHP_SELF 就是/ 嘿嘿/ 指数。php / phithon 实际上,实际上
PHP_SELF 有一部分是我们可以控制的。
ok,那么如果目录不在白名单中,那么就会后续匹配参数是否在白名单中,如果能够匹配上也返回false
进入过滤检测手中,例如xss过滤:
这样的:http : //www.test.com/index.php?id= 123%3Ciframe%20src =http : //www.xxx.com/1.js%3E是不会被过滤的
然后调用webscan_StopAttack()
函数将拦截规则与当前的GET/POST/COOKIE/REFERER
参数匹配!
那么直接看GET
请求中的过滤规则吧!
// get拦截规则 $ getfilter = “ \ <。+ javascript:window \ [。{1} \\ x | <。* =(&#\ d +?;?)+?> | <。 *(data | src)= data:text \ / html。*> | \ b(alert \(| confirm \(| expression \(| prompt \(| benchmark s *?(。 * )| sleep s *?(。* )| load_file s *?\()| <[az] +?\ b [^>] *?\ bon([az] {4 ,}) s *?= | ^ \ + \ / v(8 | 9)| \ b(and | or)\ b \ s *?([\(\)'“ \ d] +?= [\(\)'“ \ d] +?| [\(\)'” a-zA-Z] +?= [\(\) '“ a-zA-Z] +?|> | <| s +?[\ w] +?\ s +?\ bin \ b \ s *?(| \ blike \ b \ s +?[“'])| \ / \ *。* \ * \ / | <\ s *脚本\ b | \ bEXEC \ b | UNION。+?SELECT s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。*?(`|'| ” ) s *)| UPDATE s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。 *?(`|'| “) s *)SET | INSERT \ s + INTO。+?VALUES |(SELECT | DELETE)@ {0,2}(\(。+ \)| \ s +?。+?\ s +?|(`|'| “)。*?(`|'| “))FROM(\(。+ \)| \ s +?。+?|(`|'| ”)。*?(`|'| “))|(CREATE | ALTER | DROP | TRUNCATE)\ s +(TABLE | DATABASE)“ ;
简单解释,只要规则中出现的单词或连续字符,那么在访问链接URL中就不能存在这些关键字,否则就会被拦截。
为什么要简单解读呐?因为这TM的规则太复杂了...
可以把|
分割开的看成一个小规则,这样子来分别分析
在上面我们看到关键字iframe
没被过滤,那么替换如下的:
//添加一个iframe关键字iframe | $ getfilter = “ iframe | \ <。+ javascript:window \ [。{1} \\ x | <。* =(&#\ d +?;?)+?> | <。*(data | src)= data:text \ / html。*> | \ b(alert \(| confirm \(| expression \(| prompt \(| benchmark s *?(。* )) | sleep s *?(。* )| load_file s *?\()| <[az] +?\ b [^>] *?\ bon([az] {4,}) s *?= | ^ \ + \ / v(8 | 9)| \ b(and | or)\ b \ s *?([[\(\)'“ \ d ] +?= [\(\)'“ \ d] +?| [\(\)'” a-zA-Z] +?= [\(\)'“ a-zA-Z] +?|> | <| s +?[\ w] +?\ s +?\ bin \ b \ s *?(|| blike \ b \ s + ?[“'])| \ / \ *。* \ * \ / | <\ s * script \ b | \ bEXEC \ b | UNION。+?SELECT s *( (。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。*?(`|'| ”) s *)| UPDATE s *((。+ ) s * | @ {1,2}。+? s * | s +?。+?|(`|'| “)。*?( '|'| “) s *)SET | INSERT \ s + INTO。+?VALUES |(SELECT | DELETE)@ {0,2}(\(。+ \)| \ s +?。 +?\ s +?|(`|'| “)。*?(`|'| ”))FROM(\(。+ \)| \ s +?。+?|(`|'| “)。*?(`|'| ”))|(CREATE | ALTER | DROP | TRUNCATE )\ s +(TABLE | DATABASE)“ ;
这样就罢了拦截效果
其他的请求都是类似的,正则语法真难!真香!
如果匹配到了需要拦截过滤的关键字,就会调用webscan_pape()
函数,并调用拦截结果显示页面,如上图所示。
0x06总结
正则语法看得心力憔悴,更多的匹配规则得自己下来写一写,然后在本地环境输出查看!
脚本防火墙真方便!正则匹配就好了,在这个360webscan
的过滤插件中,还是看到了函数封装的美感