PHP语言的学习(ctfshow中web入门web93~web104)

PHP语言基础知识（超详细）_php开发知识-CSDN博客

PHP特性之CTF中常见的PHP绕过-CSDN博客

浅谈PHP代码执行中出现过滤限制的绕过执行方法_php过滤绕过-CSDN博客

php代码审计(适合小白入门)_php审计入门-CSDN博客

什么是PHP？

PHP 是一种脚本语言， "PHP Hypertext Preprocessor" 的首字母缩略词 PHP 语法吸收了 C 语言、Java 和 Perl 的特点，利于学习，使用广泛，主要适用于 Web 开发领域。PHP 是一种被广泛使用的开源脚本语言，且PHP 脚本是在服务器上执行的。

PHP的审计方法

1.根据敏感关键字回溯参数传递过程(逆向追踪)
​检查敏感函数的参数，进行回溯变量，判断变量是否可控并且没有经过严格的过滤，这是一个逆向追踪的过程。

2.寻找可控参数，正向追踪变量传递过程(正向追踪)
跟踪传递的参数，判断是否存入到敏感函数内或者传递的过程中具有代码逻辑漏洞。

3.寻找敏感功能点，通读功能点代码(直接挖掘功能点漏洞)
​ 根据自身经验判断在该应用中的哪些功能可能出现漏洞。

4.直接通读全文代码

常见的PHP函数

intval()函数

php特性之intval学习小记-CSDN博客

int intval( var,base)
//var指要转换成 integer 的数量值,base指转化所使用的进制 
Note: 
如果 base 是 0，通过检测 var 的格式来决定使用的进制： 
如果字符串包括了 "0x" (或 "0X") 的前缀，使用 16 进制 (hex)；否则，  
如果字符串以 "0" 开始，使用 8 进制(octal)；否则，  
将使用 10 进制 (decimal)。  

第一种过滤

<?php
echo intval(042);                     // 34
echo intval(0x1A);                    // 26
?> 

 此时就可以看出它的一个利用方式了，当过滤某个数字时，我们可以利用它的进制转换来绕过。

第二种过滤

返回值 
成功时返回 var 的 integer 值，失败时返回 0。空的 array 返回 0，非空的 array 
返回 1。 

从返回值可得，如果是一个弱比较a==b我们输入a[]=1和b[]=2，此时这两个是不同的，但还都会返回1，此时也就实现了一种绕过，这是第二种绕过思路。 

第三种过滤

echo intval(42);                      // 42
echo intval(4.2);                     // 4

我们可以发现小数点后的数字会直接舍去，所以这可以作为第三种，当过滤4的时候，我们可以输入4.2来绕过 

第四种过滤

echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1

这个呢我们发现单引号传值的时候，它只识别字母前面的一部分，当我们进行get传参时，我们其实就是默认加单引号的，所以这又是一种绕过方式。还有说一下这里不是必须是e，这里只要是字母就可以 

ctfshow做题 (93-104关)

web93

1.进行代码审计，这题主要看的是intval()函数

<?php
include("flag.php"); //通过include函数引入flag.php文件
highlight_file(__FILE__);//highlight_file函数用于将当前PHP文件的内容以高亮形式输出
if(isset($_GET['num'])){
    $num = $_GET['num'];
//这段代码首先检查通过GET请求发送的num参数是否存在。如果存在，它将这个参数的值赋给变量$num。
    if($num==4476){
        die("no no no!");
    }
//这里直接检查$num是否等于4476。如果是，脚本将终止并输出"no no no!"。
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
//这行代码使用preg_match函数检查$num是否包含任何小写字母，如果找到字母，脚本同样会终止并输出"no no no!"。
    if(intval($num,0)==4476){
        echo $flag;//intval函数尝试将$num转换为整型，其中第二个参数0表示自动检测输入值的基数（进制）。这允许$num以十六进制、八进制或十进制等形式给出，但都会被转换为十进制整数进行比较，如果转换后的整数值等于4476，则输出$flag变量的值。
    }else{
        echo intval($num,0);//如果转换后的值不等于4476，则输出转换后的整数值。
    } 
}
?>

知识点

1.php中的"=="弱比较只比较值，不比较类型(两个等号是弱类型比较,他会将两边自动转换为同一种类型后再进行比较。) 

2.以0x("0X")开头的为十六进制

   以0开头的是八进制

方法一 使用小数绕过 

小数能够绕过前面的两个if，到intval()这里，自动转换为整数，弱比较之后，得到flag

方法二 使用进制绕过

因为这里八进制不仅能够绕过前面两个if，还能在intval()这里转换成十进制，进而得到flag

web94

1.依旧是代码审计,与上题不同的地方就是多了strpos()这个函数

知识点:

因为if(!strpos($num, "0"))，所以传入的参数的第一位不能为0，如果是0，就die

方法一 使用小数绕过

因为strpos函数的特性，所以构造的小数为4476.0

方法二 使用进制绕过

因为strpos函数的特性，所以构造的进制前加上空格或者+，这两个加上并不影响

web95

1.代码审计，这题的代码与94不同的就是preg_match函数这里，多过滤了一个.

2.所以这关只能使用进制来绕过，与上面的一关相同

 

web96

1.代码审计

<?php
highlight_file(__FILE__);

if(isset($_GET['u'])){ //isset($_GET['u']) 检查URL中是否存在名为u的查询参数。
    if($_GET['u']=='flag.php'){ //如果u参数存在，代码会进入第一个if语句块。
        die("no no no");//通过$_GET['u']=='flag.php'检查u参数的值是否等于flag.php。如果是，执行die("no no no");
    }else{
        highlight_file($_GET['u']); //如果u参数的值不等于flag.php，则执行else语句块中的highlight_file($_GET['u']);。
    }
?>

知识点： 

/?u=/var/www/html/flag.php         绝对路径((/var/www/html是Web服务器的默认根文件夹))
/?u=./flag.php                          相对路径 ("./"表示当前目录)
/?u=php://filter/resource=flag.php      php伪协议             

1.这里使用相对路径

web97

1.代码审计

<?
include("flag.php"); //这行代码通过include函数包含了当前目录下名为flag.php的文件。
highlight_file(__FILE__);//highlight_file函数用于将指定的文件（这里是当前执行的PHP文件，通过__FILE__魔术常量获取）的内容以语法高亮的形式输出。
if (isset($_POST['a']) and isset($_POST['b'])) { //检查是否用post这个方法传入了a，b
if ($_POST['a'] != $_POST['b']) //两个参数的值是否不相等
if (md5($_POST['a']) === md5($_POST['b'])) //它们的MD5哈希值是否相等
echo $flag;
else
print 'Wrong.';
} 
?>

知识点

MD5()函数无法处理数组，如果传入的为数组，会返回NULL，所以两个数组经过加密后得到的都是NULL,也就是相等的。

在 php 中，=== 代表着强比较，不仅仅会比较值，还会比较类型。

2.使用数组绕过

web98

1.进行代码审计

知识点

1.&是引用符号，意思是：不同的名字访问同一个变量内容。php的引用是在变量或者函数、对象等前面加上&符号，PHP 的引用允许你用两个变量来指向同一个内容

2.$_GET?$_GET=&$_POST:'flag';意思：如果存在get方式，就把post的地址传给get，相当于get,只不过要利用post传一下参数

3.highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__)意思：如果有通过GET方法传参'HTTP_FLAG=flag'，就highlight_file($flag)。否则highlight_file(__FILE__)

2.经过分析可得，get随便传参，post传参HTTP_FLAG=flag

web99

知识点

array函数

array_push函数

in_array函数

 注意：

1. 这个函数的漏洞点就是如果第三个参数没有被设置或者设置为false时，那么从 haystack 比较 haystack比较 haystack比较needle时，采用的就是弱类型比较。
2. 如果第三个参数设置为了true，那么就会同时再检查类型。
3. 

1.代码审计

<?
highlight_file(__FILE__);
$allow = array(); //创建了一个空数组 $allow，用来存储后续生成的随机数。
for ($i=36; $i < 0x36d; $i++) {  //for 循环，从 $i 初始化为 36，逐步增加直到 0x36d（十六进制表示的 877）。
    array_push($allow, rand(1,$i)); //在每次循环中，使用 rand(1, $i) 函数生成一个 1 到 $i 之间的随机数（也就是 1~877），并将其添加到 $allow 数组中。
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){ //检查是否设置了名为 n 的 GET 参数，并且确保它的值在 $allow 数组中。
    file_put_contents($_GET['n'], $_POST['content']); //如果 $_GET['n'] 的值在 $allow 数组中，将 $_POST['content'] 的内容写入文件 $_GET['n'] 中。
}

?> 

2.分析代码，就很清晰了，我们需要用POST传参内容到GET传参的文件中，这里我们利用一句话木马来解决，最后在访问该文件，进行命令执行即可。首先，get传参1.php，post写一句话木马

3.然后我们访问这个一句话木马文件，再POST执行系统命令即可获得flag。

web100

考点：

1.考察的是运算符的优先级  ：&& > || > = > and > or

数字越大越先执行

2.该函数在此关卡为

$vo = $v1 and FALSE and FAlSE

1.代码审计

<?php
highlight_file(__FILE__); 
include("ctfshow.php");  
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);//因为=比and优先 所以v0的值是v1赋的 所以v0=is_numeric($v1) 
if($v0){//需要满足 if 语句才会进入后面的判断，因此要求 v0 为 1，这里用的是 and，所以只需要满足 v1是数字即可。
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){//要求 v2 中不能有分号，v3 中需要有分号。
            eval("$v2('ctfshow')$v3");//如果上述要求都满足，则会调用 eval 函数。
        }
    }
}
?> 

2.构造?v1=1&v2=system("ls")&v3=;

3.挨个查看，得到flag在ctfshow.php中

4. 0x2d代表是16进制的，转化一下就行

0x2d //-

web101

知识点

$class = new ReflectionClass(‘ctfshow’); // 建立ctfshow这个类的反射类 $instance = class −> newInstanceArgs(class->newInstanceArgs( class−>newInstanceArgs(args); // 相当于实例化ctfshow类

资料：php反射类_php 反射类-CSDN博客

PHP的反射类ReflectionClass、ReflectionMethod使用实例-腾讯云开发者社区-腾讯云

PHP反射类详解_php reflectionclass-CSDN博客

1.代码审计,与100关不一样的地方就在preg_match()函数这里，过滤的内容不一样，特别是 $ 和反引号这些都被毙掉了，我们只能采用反射类的方法：

2.发现最后少了一个不是数字就是字母，直接使用burp抓包爆破即可

web102

ctfshow-web入门-102_ctfshow web102-CSDN博客

Linux cat命令参数及使用方法详解-CSDN博客

知识点：

1.call_user_func — 把第一个参数作为回调函数调用, 其余参数是回调函数的参数

1.代码审计

<?php
highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);//要求 v2 是数字，这样才会满足 if 条件，进入后面的语句。
if($v4){
    $s = substr($v2,2);//从 $v2 的第三个字符开始截取子字符串并赋值给 $s。
    $str = call_user_func($v1,$s);//调用 $v1 指定的函数，并将 $s 作为参数传递给该函数，将函数的返回值赋值给 $str。
    echo $str;
    file_put_contents($v3,$str);//将 $str 写入 $v3 指定的文件中。
}
else{
    die('hacker');
}
?> 

2.if中需要v4为真才能往下执行，而v4要为真就是v2传的参数要为数字或者数字字符串，同时v2也是我们要写入的webshell，为了让v2为数字或者数字字符串，我们可以先把我们的webshell转换为base64编码，再把base64编码转换为16进制，这是一种办法去转换成数字。

$a='<?=`cat *`;';       //为什么用这个，主要是因为编码后带e,或者是编码后全部是数字
$b=base64_encode($a);  // PD89YGNhdCAqYDs=
$c=bin2hex($b);      //这里直接用去掉=的base64
//输出   5044383959474e6864434171594473
带e会被当做科学计数法，而base64去掉等号，不影响解码
bin2hex把ascii码转为16进制

3.构造 get：?v2=005044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

post： v1=hex2bin

4.查看php文件，最后查看源代码

web103

1.代码审计，与102相比就是多了preg_match这个函数，过滤掉了一些内容

2. 这个过滤并没有什么影响，使用上题的方法进行解题

3.访问php文件，最后看源代码，得到flag

web104

1.代码审计，这里涉及到shal()函数，并且这里使用的是弱比较

知识点：sha1()函数特性，sha1函数无法处理数组，遇到数组会返回NULL

2.构造 get： v2[]=1  post: v1[]=1