php代码审计(一)phpBug#69892

最新推荐文章于 2023-10-17 22:07:34 发布
最新推荐文章于 2023-10-17 22:07:34 发布
阅读量621 收藏
点赞数
分类专栏: PHP代码审计 文章标签: php代码审计 phpbug#69892
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CliffordR/article/details/100150407
版权

文章目录

phpbug #69892
Description:
------------
var_dump([0 => 0] === [0x100000000 => 0]); // bool(true)
题目代码:
# Challenge
<?php

$users = array(
        "0:9b5c3d2b64b8f74e56edec71462bd97a" ,
        "1:4eb5fb1501102508a86971773849d266",
        "2:facabd94d57fc9f1e655ef9ce891e86e",
        "3:ce3924f011fe323df3a6a95222b0c909",
        "4:7f6618422e6a7ca2e939bd83abde402c",
        "5:06e2b745f3124f7d670f78eabaa94809",
        "6:8e39a6e40900bb0824a8e150c0d0d59f",
        "7:d035e1a80bbb377ce1edce42728849f2",
        "8:0927d64a71a9d0078c274fc5f4f10821",
        "9:e2e23d64a642ee82c7a270c6c76df142",
        "10:70298593dd7ada576aff61b6750b9118"
);

$valid_user = false;

$input = $_COOKIE['user'];
$input[1] = md5($input[1]);

foreach ($users as $user)
{
        $user = explode(":", $user);
        if ($input === $user) {
                $uid = $input[0] + 0;
                $valid_user = true;
        }
}

if (!$valid_user) {
        die("not a valid user\n");
}

if ($uid == 0) {

        echo "Hello Admin How can I serve you today?\n";
        echo "SECRETS ....\n";

} else {
        echo "Welcome back user\n";
}
  • 首先分析一下题目的逻辑
  • 第一部分
<?php

$users = array(
        "0:9b5c3d2b64b8f74e56edec71462bd97a" ,
       ······
);

$valid_user = false;

有一个users数组,这是一个定义了MD5哈希值的用户密码列表,并将valid_user初始化为false

  • 第二部分
$input = $_COOKIE['user'];
$input[1] = md5($input[1]);

以cookie的方式接受一个输入,并将接受的输入转换为数组进行检查,将数组第二项也就是密码项转换为md5

  • 第三部分
foreach ($users as $user)
{
        $user = explode(":", $user);
        if ($input === $user) {
                $uid = $input[0] + 0;
                $valid_user = true;
        }
}

在数组中遍历检查所用传入的用户和密码,如果匹配,把传入的账号赋值给uid,并添加值0以强制转换为数值数据类型,除此之外,标志$valid_user 设置为 true,这个部分就是一个验证登录的部分。

  • 第四部分
if (!$valid_user) {
        die("not a valid user\n");
}

if ($uid == 0) {

        echo "Hello Admin How can I serve you today?\n";
        echo "SECRETS ....\n";

} else {
        echo "Welcome back user\n";
}

这一部分的主要作用就是在根据uid来判断是否为管理员,如果uid为0,那么就是确认为管理员登录,否则就是user登录。

解题思路

我习惯于第一步泛读代码理清思路后采用逆推的方法解决问题
首先以管理员身份登陆成功要使uid==0(注意此处为弱等于),uid如何才能变成0,要到代码第三部分uid账号等于实际传入的账号(只有验证通过的传入的账号才能赋值传递给uid),那么只要使用账号0登录并且验证通过就可以了,接下来解决如何才能验证通过。传入的账号密码要与users数组中相匹配,解密一下数组中的md5值,发现只有用户5可以解密。
06e2b745f3124f7d670f78eabaa94809解密后为hund。
现在虽然使用用户0无法登录,但是我们使用用户5可以登录。

cookie:user[0]=5;user[1]=hund;

接下来的问题就变成了如何把user[0]=5变成user[0]=0
这就用到了phpbug#69892
简单来说,就是漏洞的利用就是键名user[4294967296]效果上等于user[0],但是要注意user[0]=5,它的值是5,使用user[4294967296]=5,他的值其实已经变成了空的。但是在后边

$uid = $input[0] + 0;

本来此处input[0]的值是空的,后边+0强制转换为int类型,uid就变成了0。
在比较的时候,input和user这两个数组时用的"=="在比较,那么我们可以不设置input[0]的值,而是用input[4294967296]来代替,然后比较的时候时用的input[4294967296]和input[1]来和列表中的用户比较,而uid又是通过input[0]+0来得到的,这样就完美绕过了它的限制。
关于phpBug#69892详细的信息还是参考相关资料,这里只给出了一种利用方法。

D-R0s1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Thinkphp代码审计php方向)
m0_55772907的博客
05-28 1442
以下代码审计是在thinkphp3.2.3版本上进行的 1、日志文件信息泄露 漏洞产生原因: ThinkPHP在开启DEBUG的情况下会在Runtime目录下生成日志,而且debug很多网站都没有关。 ThinkPHP默认安装后,也会在Runtime目录下生成日志。 ThinkPHP3.2日志文件路径:Application\Runtime\Logs\Home\22_05_22.log ThinkPHP3.1日志文件路径:Runtime\Logs\Home\22_05_22.lo...
php_bugs代码审计(二)
Sea_Sand息禅
02-05 841
16、SQL注入注释外包’及or绕过 <?php #GOAL: login as admin,then get the flag; error_reporting(0); require 'db.inc.php'; function clean($str){ if(get_magic_quotes_gpc()){ $str=stripslashes($str); } retur...
小白学代码审计
大方子
08-20 891
下面为github某代码审计项目前两道题的详细解答 challenge1 话不多说,直接上代码: &lt;?php $users = array( "0:9b5c3d2b64b8f74e56edec71462bd97a" , "1:4eb5fb1501102508a86971773849d266", "2:facabd94d57fc9f1e655...
var_dump函数作用
12-19 5566
描述void var_dump(mixed expression[,mixed expression[,....]])此函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。     提示::为了防止程序直接将结构输出到浏览器,您可以使用输出控制函数(output_control functions)来捕获函数的输出,并
新手最容易触发的10个PHP语言Bug分享
最新发布
黑夜开发者的博客
10-17 557
在日常工作中,经常会遇到各种各样的bug,包括一些PHP的奇怪的bug。下面我将举出10个例子,并以代码演示的方式展示它们。本文介绍了日常工作中遇到的一些PHP的奇怪的bug,通过代码演示展示了这些bug的实际效果。在编写PHP代码时,我们需要注意这些问题,并采取相应的措施来避免它们的发生,以提高代码的质量和稳定性。今天的内容就分享到这里,我们下次见。
php bug修复,PHP 7.1.12版正式发布 修复多项bug内容(改进日志)
weixin_39997696的博客
03-28 113
PHP 7.1.12 正式发布了。PHP(PHP:Hypertext Preprocessor)是一种在电脑上执行的脚本语言,主要是用途在于处理动态网页,也包含了命令列执行接口(command line interface),或者产生图形使用者接口(GUI)程式。该版本主要还是修复 bug,改进日志如下:23 Nov 2017, PHP 7.1.12- Core:. Fixed bug #7542...
php代码 常见bug,记一次PHP代码中的BUG,求大神解疑
weixin_39684052的博客
03-21 210
环境:centos + nginx + php5.3n + mysql5.6.17框架:CI出错的代码如下:session_start();$_SESSION['os']='ios';$_SESSION['ver']='4.0';$_SESSION['channel']='360';$_SESSION['user_id']='20772004';$mongo_data=arra...
PHP代码审计文档.zip
11-02
第19课:PHP代码审计之会话认证漏洞mp4 第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课...
php代码审计入坑实践.pdf
07-30
仅拿出几个洞作为例子进行入坑的讲解, 主要是使用 rips 进行辅助审计, 本文是针对小白入坑作为抛砖引玉, 理论的还未进行详细总结, 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS, 不适合刚入门的同学先...
PHP代码审计音频文件.zip
11-02
任务19:PHP代码审计之会话认证漏洞mp4 任努18:PHP伪协议mp4 任务17:PHP弱类型mp4 任务16:PHP代码审计之反序列化漏润mp4 任务15:PHP代码审计之变量盖漏洞mp4 任务14PHP代码审计之任意文件读取及删除漏洞mp4 任务13...
PHP代码审计教学视频
01-28
PHP代码审计入门教学视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖、PHPSTROM使用等等)都有非常详细的介绍
php代码审计-代码执行.pdf
12-14
代码审计PHP 代码执行机制中的一种安全机制,用于检查代码的安全性。代码审计可以检查代码中是否存在安全漏洞,例如 eval() 函数、assert() 函数、preg_replace() 函数等。 例如,我们可以使用以下方式来检查...
php 遇到 bug 解决,php对象编程的遇到的BUG
weixin_30646537的博客
04-02 124
自己写了个db链式操作模型对象如下代码所示(只摘取了其中一小段)遇到的bugpublic function insert(Array $c, $p = 'INSERT') { if(!is_null($this->px)) return $this; function i( $c, $e = ',') { $d = ''; ...
PHP常见函数漏洞
Elite的博客
04-11 2512
常见的PHP特性(bug)总结,干货满满哦
php 漏洞扫描,10个最佳PHP代码安全扫描程序来查找漏洞
weixin_34008968的博客
03-09 3343
本文概述在你的PHP应用程序中查找安全风险和代码质量。PHP统治着网络, 约有80%的市场份额。它无处不在– WordPress, Joomla, Lavarel, Drupal等。 PHP核心是安全的, 但除此之外, 你可能还在使用许多其他功能, 这可能很容易受到攻击。在开发了站点或复杂的Web应用程序之后, 大多数开发人员和站点所有者都将精力集中在功能, 设计, SEO上, 而他们却忘记了基本...
php bug,一个关于 PHP 奇怪的 Bug
weixin_28803437的博客
03-09 209
一个应用的开始时间减去应用结束时的时间,小数点有时居然变成了逗号。部分代码:$mtime = explode(' ', microtime());$app_starttime = $mtime[1] + $mtime[0];/// 程序主体的运行$mtime = explode(' ', microtime());$app_endtime = $mtime[1] + $mtime[0];...
php 遇到一个bug,开发中遇到的PHP中的一个重要bug
weixin_42469315的博客
03-20 135
虽然PHP的确是公认的最好的语言,最近10年的世界TOP 20编程语言(市场份额),PHP一直名列前10名。PHP为什么好呢?个人觉得,好就好在PHP的设计者,把web开发者在编程中能遇到的问题,大部分都想到了,是一种十分完整的语言(在PHP 5时就已经达到这种水平)。大部分问题,他都有了解决方案。所以我们在开发中,会感觉更加得心应手,这是一个优秀的语言具有的特征。且PHP的执行效率,处于相对中等...
phpbug#69892
萍水间人的小天地
02-13 190
phpbug#69892 <?php error_reporting(0); $users = array( "0:9b5c3d2b64b8f74e56edec71462bd97a" , "1:4eb5fb1501102508a86971773849d266", "2:facabd94d57fc9f1e655ef9ce891e8...
VSCode的一些相关使用总结及如何配置PHP运行环境
D-R0s1的博客
02-05 3743
前言 以前写代码的时候经常用pycharm,原因就是我也就能写点python,C和Java停留在云程序员阶段,PHP属于刚看懂的阶段。pycharm是一个很好的软件但是相对来说比较大,启动的时候比较费劲。经小伙伴推荐,VSCode比较轻便,内置了许多插件,可以满足好多种语言,但是我在运行php的时候,出现了一些问题,本文就是记录如何让VSCode成功运行php的笔记。 网上我找的一些教程对我来说我...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值