专栏首页ChaMd5安全团队PHP源码分析之parse_url()的2个小trick

PHP源码分析之parse_url()的2个小trick

前言:

之前从phithon师傅的代码审计小密圈看到pupiles师傅发过一篇文章,讲了parse_url()的很多小tricks,可惜只是给出了tricks的利用方法,并没有从底层原理上进行分析,正好我最近也在研究PHP源码,于是就给分析了一波。

本文测试使用的PHP版本为7.0.30

pupiles师傅的原文链接:

http://pupiles.com/%E8%B0%88%E8%B0%88parse_url.html

函数分析:

parse_url()定义在\ext\standard\url.c中第337行

第334行调用zend_parse_parameters()对参数进行解析,第一参数就是传入的URL字符串,第二个参数是可选的我们暂时不做研究。

第348行,调用php_url_parse_ex()对URL字符串进行解析,返回值保存在resource中,resource定义在341行,是一个php_url类型的结构体:

跟入php_url_parse_ex()

这个函数接收两个参数,分别是URL字符串和其长度

第100行声明了一个ret指针并为其分配了一个php_url结构,用于保存返回值

之后初始化s指向字符串开头,ue指向字符串结尾

第一个trick:

此时我们传入的字符串为 /pupiles.com:80
第107行把e指向了字符“:”所在的位置
第109行把s赋值给p

此时的指针结构入如下:

112行的if中有四个条件:

1.*p非字符

2.*p非数字

3.*p != ‘+’

4.*p != ‘-’

很明显,p指向的第一个字符是’/’,满足上述条件

113行再次进行判断,其中两个条件:

1. e + 1 < ue,由上图知e + 2 == ue,故条件满足

2. e < s + strcspn(s,"?#"), 由于字符串s中没有出现字符?和#,因此strcspn()返回s的长度15,e < s + 15,满足条件

114行 goto parse_port;

parse_port在第177行:

执行到第179行时指针结构如下:

181行的循环之后:

185行中if条件满足

187行中,因为pp - p == 2,所以把从指针p开始的两个字符复制到port_buf中,port_buf定义在99行:

188行追加一个空字符终止字符串,此时port_buf的值为: 80\0

189行从port_buf解析出port并在191行赋值给ret结构体的port成员

至此port解析完成,进入到215行的parse_host:

217行把ue赋值给e:

218行把p指向了字符’/’的位置:

219行把p赋值给e:

此时 e == s,故不会进入229行的if

继续向下:

246行的if不满足,进入到251行的else中

找到zend_memrchr()的定义:

传入的参数n即(e-s),由于e == s,即e - s == 0,可知n == 0

在zend_memrchr()的第189行,可知n <= 0时返回NULL

因此p == NULL,不会进入255行的if,而是进入到281行的else中:

281行把e赋值给p,还是和之前一样:

286行由于p == s,因此(p-s) < 1成立,291行return NULL,函数返回

自己写一个PHP文件测试一下:

<?php

$url = $_GET['url'];

var_dump(parse_url($url));

第二个trick:

实测一下:

在端口号之后加一个字符就会被当做path解析了,神奇!

继续分析一波:

这个字符串的解析过程和上述基本一致,不同发生在了parse_port中:

在185行时各指针如下:

由于此时185行的if不满足因此会进入到207行,跳转到just_path中:

305行把ue赋值给e:

由于字符串中不存在字符’#’和’?’

因此306和316行的if都不满足

326行s < e为真,之后设置了ret结构的path成员

331行返回结构体ret

后记:

本人不才,看C看的好心累,只分析了前两个trick,剩下的trick有兴趣的师傅欢迎投稿分享~!

本文分享自微信公众号 - ChaMd5安全团队(chamd5sec),作者:呆哥

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-06-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • addslashes防注入的绕过案例(AFSRC获奖白帽子情痴)

    代码审计中遇到的一些绕过addslashes的案例 From ChaMd5安全团队核心成员 无敌情痴 MMMMM叫我写一篇文章发到公众号,然...

    ChaMd5安全团队
  • 网鼎杯 第四场 部分WriteUp

    http://2e8c0fad02d147a6b3f23624556a2fe49a4b7d2b64484f3c.game.ichunqiu.com//.git/

    ChaMd5安全团队
  • 常见端口转发工具的使用方式

    NetCat NetCat是一个非常简单的Unix工具,可以读、写TCP或UDP网络连接。 用途: 1: 侦听/传输模式 2:获取banner信息 3:传输文...

    ChaMd5安全团队
  • 女生勿扰,只适合男孩子的 Python 爬虫,里面东西不给钱统统白送

    说真的,花了几天的时间来搞一个别人已经干过的项目,不知道是不是不值得,但是后面我自己上手做了之后,我才发现,这必须值得,崔大的书是2018年的,而现在网络的更新...

    Python小二
  • Python3 urllib.parse

    py3study
  • spring-cloud-config:配置同步原理

    以下通过一个实际案例展开分析,案例为:修改 Github 远程仓库路由配置后,路由转发功能实时生效。该案例构建于 peacetrue-microservice-...

    安宁
  • Nauto凭何获得软银、宝马等1.59亿美元的B轮融资?

    安妮 编译自 Tech Crunch 量子位出品 | 公众号 QbitAI 又是一轮融资。 昨天,美国加州的自动驾驶技术公司Nauto获得1.59亿美元的B轮融...

    量子位
  • 新的窃私病毒AVPasser

    近日,安全机构最新检测发现一款新型的“窃私”病毒AVPasser,这一病毒可以窃取手机用户的照片,短信,联系人和通话记录,并且在用户不知情的情况下进行通话录音,...

    安恒信息
  • 【应用运维】公司业务迭代迅速,运维如何高效进行应用发布?

    应用软件架构在不断发展,用户需求爆炸式增加,应用数量成倍数增长,发布迭代速度越来越快,应用运维团队肩负着业务系统正常运转的重大责任。

    嘉为科技
  • 极简Scikit-Learn入门

    感觉可以扩展的东西很多,后台也有朋友发私信提了一些建议怎奈时间精力有限,多元线性回归的模型诊断再次延迟。大家有好的建议也欢迎留言,也期待大家能够投稿原创文章。今...

    统计学家

扫码关注云+社区

领取腾讯云代金券