【攻防世界】easyphp(PHP代码审计)

最新推荐文章于 2024-05-26 12:51:49 发布
最新推荐文章于 2024-05-26 12:51:49 发布
阅读量798 收藏 7
点赞数 13
分类专栏: 攻防世界 文章标签: PHP代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79800344/article/details/137565586
版权

进入题目环境,检查页面内容,页面附有源代码:

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

?>

进行代码审计,将整体代码分开分别分析。

使用 $_GET 方法上传参数 $a 与 $b、$c,并进行判断来进行回显:

找到可以获取 flag 的关键代码进行审计:

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

审计得知,若要输出 $flag 的值,则需要 $key1 和 $ket2 均为True,即均大于零。

首先查看 $key1 大于零的条件:

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

代码首先对参数 a 进行判断,要求参数a的值大于 6000000 且 a的位数不超过3位,故可以使用科学计数法来给 参数a 赋值。 ?a= 1e9

接着对参数 b 进行判断,若b存在 且 参数b的后六位 等于 字符串'8b184b' 的话,即赋值 $key1=1。

故编写 MD5破解脚本:

import hashlib
for i in range(100000):
    x = str(i).encode()  #将字符串转换为字节串,因为hashlib.md5()函数的参数必须为字节串
    y = hashlib.md5(x)  #进行md5加密编码
    m = y.hexdigest()  #以十六进制的格式返回编码数据
    if(m[-6:] == "8b184b"):  #若编码后六位等于字符串"8b184b",则代表爆破成功
        print("爆破结果为:" + m)
        break
    print(i)

爆破结果如下:

成功获得 符合条件的b的值---53724。

查看 $key2 大于零的条件:

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

进行代码审计,引入了新的参数 $c:

第一个 if 判断语句:要求 $c 是一个数组,且 $c['m'] 的值不为数字 (is_numeric()函数判断),在 $c['m'] 的数据类型不为数字的同时还要求 $c['m'] 的键值大于 2022,需要用到 PHP 的弱语言特性。

PHP是一类典型的弱语言,在PHP代码中:

2023abc 与 2022 作比较时,会自动将 字符串类型的 '2022abc' 转换为 数字类型2023 来和 2022 进行比较。

故可以将 $c['m'] 赋值为 字符串 '2023abc'。

被嵌套的第二个 if 语句:$c['n'] 也为一个数组,所以 $c 是典型的 数组嵌套数组,在要求 $c['n'] 为一个数组的同时要求 $c['n'][0] 也为一个数组,所以 $c['n'] 中也嵌套一个数组。

最后利用 array_search()函数要求 $c['n'] 中可以匹配 字符串 'DGGJ',同时利用 foreach 要求 c['n'] 不存在字符串 'DGGJ',看似要求矛盾,实则依然利用PHP的弱语言特性。

若 $c['n'] 的键值包含数字0,当 数字0 和字符串'DGGJ'进行比较时,字符串'DGGJ'会自动被转换为数字零,以此可以达到目的。

所以 payload: c={"m":"2023abc","n":[[0,1],0]}。

所以最终的payload:http://61.147.171.105:53569/?a=1e9&b=53724&c={"m":"2023abc","n":[[0,1],0]}

成功获得 flag。 

给我杯冰美式
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP开发环境 EasyPHP v5.4.6
11-08
1. **Traits**:为了解决类的多重继承问题,PHP 5.4引入了Traits,允许代码重用,类似于Java的接口或C++的混合体。 2. **Short Array Syntax**:简化了数组的定义,可以用`[]`代替`array()`。 3. ** Closure support...
攻防世界easyphp
RexHa的博客
02-01 4249
攻防世界 easyphp
PHP自动化代码审计工具
good good study
07-28 8661
目录 Seay Fortify RIPS Seay Seay源代码审计系统是一款绿色免费的Seay源代码审计软件。软件功能强大,提供了一键自动审计,函数查询,代码高亮编辑器,自定义审计规则,代码调试等强大功能 下载地址:链接:https://pan.baidu.com/s/1x_JIm5HYizNXkmc22GBFbg ,提取码:wfr7 使用方法 导入之后,在左边会有源码文件的预览,默认综合模式为函数,然后点击综合扫描,下面就会显示可能存在漏洞的文件与具体位置 我们发现,综合模.
攻防世界-easyphp
最新发布
weixin_64659753的博客
05-26 414
攻防世界-easyphp
Web安全攻防世界05 easyphp(江苏工匠杯)
weixin_42789937的博客
12-04 4024
Web安全攻防世界05 easyphp(江苏工匠杯),呃...我php0基础,自己解题,所以写得会很啰嗦...内容对小白依然非常友好~
【安全漏洞】Easy代码审计
HBohan的博客
11-06 1490
环境说明: 系统:Windows 10 集成环境:phpstudy php版本:7.3.4 mysql版本:5.7.25 cms版本:7.7.4 【查看资料】 前言 现在cms一般都是基于MVC思想去开发,所以在审计这个cms时我是直接从控制器开始看的,thinkphp与laravel等开发框架会把控制器放在controller目录,这个cms的控制器是在lib目录。 目录结构 cmseasy/ |-- admin |-- api |-- apps |-- cache |-- cn |-- common |
PHP代码审计】——开启你的代码审计生涯
Demo不是emo的博客
11-14 4940
感觉最近的网络安全学习遇到了瓶颈,因为我是学习的web安全,所以自然最先学习的就是熟悉owtop10漏洞,并且我当前的专业是软件工程,所以各种计算机语言都接触过,但都学的不深,所以网安学习越深入就越感觉代码能力的重要性,所以我决定将当前的重心转到代码审计上,了解漏洞形成原因的同时,增加自己对php语言的理解,加油
Easyphp 集成环境 mysql apache php
05-19
mysql apache php 的集成环境,简单易用,系统稳定, 割肉求分
EasyPHP-3.0(php开发工具)
07-21
EasyPHPPHP与Apache集成,使得开发者可以直接在本地环境中编写、测试和执行PHP代码,大大提高了开发效率。 ### MySQL:关系型数据库管理系统 MySQL是另一款开源、流行的关系型数据库管理系统,广泛应用于网站和...
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP v12.1 WITH PHP 5.4.6
11-02
MySQL是世界上最广泛使用的开源关系型数据库管理系统,它为EasyPHP提供了数据存储和检索的能力。在EasyPHP中,MySQL数据库与PHP的MySQL扩展配合使用,使得开发者可以轻松地创建、查询、更新和管理数据库。同时,通过...
攻防世界--easyphp
qq_51802152的博客
12-17 842
攻防世界--easyphp
两个php代码审计的工具
strider1123的博客
07-27 292
来自打那个熊海cms时候发现的大佬文章:https://blog.csdn.net/qq_28624871/article/details/114745946 下载地址大佬给了,我就不贴了 第一个叫Seay源代码审计系统 不能直接拖文件,感觉这点有点不方便 不过分析代码上感觉还可以 在左上角的新建项目里选中要审计代码文件或文件夹 然后点击上面的自动审计并开始 能够看到这里列出了很多...
PHP代码审计工具——Rips详细使用教程
2201_75735270的博客
03-11 1070
代码审计工具可以辅助我们进行白盒测试,大大提高漏洞分析和代码挖掘的效率。在源代码的静态安全审计中,使用自动化工具辅助人工漏洞挖掘,一款好的代码审计软件,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。代码审计工具按照编程语言、审计原理、运行环境可以有多种分类。商业性的审计软件一般都支持多种编程语言,比如VCG、Fortify SCA,缺点就是价格比较昂贵。其他常用的代码审计工具还有findbugs、codescan、seay,但是大多都只支持Windows环境。
攻防世界--simple php,easy php
m0_67467924的博客
04-20 925
第一个if判断语句,使用isset判断变量a是否申明,使用intval获取变量的整数值,并判断其值大于6000000,使用strlen函数判断变量a的长度,且长度小于等于3.若三个同时满足,那么进行二次判断,若变量b也有声明,同时他的值在使用md5加密后使用substr函数获取加密后的6位,且这6位的值为8b84b,如果满足就给key变量赋值为1;最后我们来绕过c,首先c是一个数组,且数组中存在m键,因为m不能为数值型,但又要大于2022,于是我们选择构造5555ab这个字符来绕过。进入环境,代码审计
PHP网站常见安全漏洞及防御方法
weixin_34296641的博客
08-01 300
目前,基于PHP的网站开发已经成为目前网站开发的主流,本文笔者重点从PHP网站攻击与安全防范方面进行探究,旨在减少网站漏洞,希望对大家有所帮助! 一、常见PHP网站安全漏洞 对于PHP的漏洞,目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。 1、sessio...
攻防世界ctf web easyphp题解wp
qq_41169485的博客
09-28 3725
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值