【PHP】危险函数使用不当时产生漏洞后对于函数的分析理解、产生原因、实例、绕过方法合集总结(弃坑)

最新推荐文章于 2024-04-18 05:44:52 发布
最新推荐文章于 2024-04-18 05:44:52 发布
阅读量1k 收藏 1
点赞数
分类专栏: 笔记 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/109162450
版权

前言

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!
——————————————————————————————————————————————————

函数目录


——————————————————————————————————————————————————

is_numberic()

语法
bool is_numeric ( mixed $var )
如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE。
技术细节
is_numberic函数不仅判断10进制,16进制也可以
绕过方法与原理:
is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后,因为查看函数发现该函数对对于第一个空格字符会跳过空格字符判断,接着后面的判断
如果该函数用在弱比较上,可以在数字后面加上字母进行绕过
该函数还可能造成sql注入,例如将‘1 or 1’转换为16进制形式,再传参,就可以造成sql注入,这里不做演示
实例:

if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}

payload:
password=404%20
——————————————————————————————————————————————————

strstr()

语法
string strstr(string,search[,before_search])
strstr() 函数搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。
技术细节
注释:该函数是二进制安全的。
注释:该函数是区分大小写的。如需进行不区分大小写的搜索,请使用 stristr() 函数。
绕过方法与原理:
strstr函数对于大小写是敏感的,直接大小同存写关键字即可绕过
实例:

if(isset($_GET['page'])){
	$page=$_GET['page'];
	if(strstr($page,"php://")){
		die()
	}
	include($page)
}

payload:
page=pHp://filter/read=convert.base64-encode/resource=flag.php
——————————————————————————————————————————————————

extract()

语法
extract(array[,extract_rules,prefix])
extract() 函数从数组中将变量导入到当前的符号表。
技术细节
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
该函数返回成功设置的变量数目。
绕过方法与原理:
该函数使用不当时,会导致变量覆盖,直接往extract()的值中传入需要覆盖的变量名和变量值
实例:

<?php
	$auth=false;
	extract($_GET);
	if($auth){
		echo "flag{...}";
	}else{
		echo "Access Denied.";
	}
?>	
}

payload:
GET提交
?auth=1

——————————————————————————————————————————————————

parse_str()

语法
parse_str(string[,array])
parse_str() 函数把查询字符串解析到变量中。
技术细节
注释:如果未设置 array 参数,由该函数设置的变量将覆盖已存在的同名变量。
注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。
绕过方法与原理:
该函数使用不当时,会导致变量覆盖,直接往extract()的值中传入需要覆盖的变量名和变量值
实例:

<?php
	$auth=false;
	parse_str($_SERVER['QUERY_STRING']);
	if($auth){
		echo "flag{...}";
	}else{
		echo "Access Denied.";
	}
?>	
}

$_SERVER[‘QUERY_STRING’] //查询(query)的字符串。即url中?后的字符串

payload:
GET提交
?auth=1

——————————————————————————————————————————————————

import_request_variables()

影响版本
注意此函数自PHP5.4起被移除,测试此代码需要安装大于等于4.1小于5.4的PHP环境
语法
import_request_variables(‘G||P||C’)
技术细节
它的值由G、P、C三个字母组合而成,G表示GET,P代表POST,C代表Cookies。
注释:注意排在前面的字符会覆盖排在后面字符传入的值,如,参数为“GP”,且GET和POST同时传入auth参数,则POST传入的值会被忽略!
绕过方法与原理:
该函数使用不当时,会导致变量覆盖,直接往import_request_variables()的值中指定的方式传入需要覆盖的变量名和变量值
实例:

<?php
	$auth=false;
	import_request_variables('G')
	if($auth){
		echo "flag{...}";
	}else{
		echo "Access Denied.";
	}
?>	
}

payload:
GET提交
?auth=1

——————————————————————————————————————————————————

intval()

影响版本
PHP 4, PHP 5, PHP 7
语法
int intval ( mixed $var [, int $base = 10 ] )
intval() 函数用于获取变量的整数值。
intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。
技术细节
如果 base 是 0,通过检测 var 的格式来决定使用的进制:
如果字符串包括了 “0x” (或 “0X”) 的前缀,使用 16 进制 (hex)
如果字符串以 “0” 开始,使用 8 进制(octal)
默认使用 10 进制 (decimal)。

绕过方法与原理:
Intval最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例,在这样的系统上, intval(‘1000000000000’) 会返回 2147483647。64 位系统上,最大带符号的 integer 值是 9223372036854775807。
如果参数为2147483647,那么当它反过来,由于超出了限制,所以依然等于2147483647。
intval函数有个特性:“直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时(\0)结束转换”
特性
在这里插入图片描述

实例:

<?php
	include(flag.php);
	if(intval($_GET["number"])=intval(strrev($_GET["number"]))){
		echo $flag;
	}
?>	
}

strrev() 函数反转字符串. //用法 strrev(string) 返回已反转的字符串

payload:
GET提交
?number=2147483647
或者用科学计数法构造0=0
?number=0e-0 //0e-0表示0乘以0的-0次方 示例:3.14E3则表示3.14乘以10的3次方,3.14E-2则表示3.14乘以10的-2次方

这里本来是参照网上的资料去写的,网上的示例都是bugku的矛盾,说的什么判断数值是不是回文上,搞不懂什么操作,先留在这!https://www.cnblogs.com/GH-D/p/8085676.html

——————————————————————————————————————————————————

md5()

语法
md5(string[,raw])
string 必需 规定要计算的字符串。
raw 可选 规定十六进制或二进制输出格式:
TRUE - 原始 16 字符二进制格式
FALSE - 默认 32 字符十六进制数
绕过方法与实例讲解可以看我这一篇文章:
https://blog.csdn.net/EC_Carrot/article/details/109525162
——————————————————————————————————————————————————

get_headers()

PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的get_headers()函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。
该函数漏洞涉及CVE,可以参考我另外一篇文章:
https://blog.csdn.net/EC_Carrot/article/details/109464044
——————————————————————————————————————————————————

array_map()

该函数存在代码执行的问题
在这里插入图片描述
示例代码如下:

<?php
$arr=$_GET['arr'];
$array=array(1,2,3,4,5);
$new_array=array_map($arr,$array);
?>

利用过程如下:
在这里插入图片描述
——————————————————————————————————————————————————

ereg()

在这里插入图片描述

ereg()用途
ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的。若需要不区分大小写则使用eregi()函数。
截断漏洞
ereg函数存在NULL截断漏洞,导致了正则过滤被绕过,所以可以使用%00截断正则匹配
数组漏洞
ereg()只能处理字符串的,遇到数组做参数返回NULL
——————————————————————————————————————————————————

小 白 萝 卜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python如何操作列表
简单是书的博客
05-26 517
章节要点 1、for循环的概念及其在列表中的应用 2、创建数字列表 3、python切片-处理列表的部分元素,比如复制 4、元组 一、for循环的概念及其在列表中的应用 遍历整个列表—for …in magicians = ['alice','david','carolina'] #执行遍历操作 for magician in magicians: print(magician) #冒号不可缺,第二行必须空一格,这是python语法规定 输出 alice david carolina 这里.
Python基础操作
zzZ_k2的博客
09-18 1025
1.运行python 安装成功且环境变量配置成功 2.命令行模式 命令行模式:(搜索框中输入cmd+回车)进入命令行模式 3.python交互模式 python交互模式:python2.x版本输入python+回车,python3.x版本输入python3/python+回车可进入交互模式,在Python交互模式下输入exit()并回车,就退出了Python交互模式,回到命令行模式 4.python交互环境下的第一个python程序 了解了如何启动和退出Python的交互模式,我们就...
PHP is_numeric()函数详解,PHP判断变量是否为数字或数字字符串,is_numeric()绕过(1)
最新发布
m0_57540801的博客
04-18 749
is_numeric() 会对「科学计数法」(0e开头)返回 true。数值型和字符型都可以。但 is_int() 必须是「整形」才返回 true ,其他类型都返回 false;is_int() 和 is_numeric() 都可以 “判断变量是否为数字”。而 is_numeric() 对「浮点型」 和「数值型字符串」也返回 true。这类payload转成16进制,再传给 is_numeric() ,实现绕过。「数字」和「字母」组合的字符串,无论是否以数字开头,都返回 false。
Python操作
YEXINGYANG1995的博客
06-27 444
上次我们讲了一些Python的基础语法,今天我们来举几个例子实际操作一下。一.个税计算扣除标准3500元/月(2011年9月1日起正式执行)(工资、薪金所得适用)扣除三险一金后月收入 = 工资 - 三险一金   应纳税所得额=扣除三险一金后月收入-扣除标准应纳个人所得税税额=全月应纳税所得额×适用税率-速算扣除数个税 = 养老保险:单位20%,个人8%医疗保险:单位8%,个人2%失业保险:单位1%...
Python的基本操作
Sunny_Boy0518的博客
04-15 2603
Python的基本操作(包括基本语法、注释、变量、标识符、命名规范等知识)
Python新手入门-操作篇
分享学习成长历程,Winter is coming!
09-15 2471
原文来自于:https://www.jb51.net/article/163306.htm pycharm是一款高效的python IDE工具,它非常强大,且可以跨平台,是新手首选工具!下面我给第一次使用这款软件的朋友做一个简单的使用教程,希望能给你带来帮助! 目前pycharm一共有两个版本,Professional(专业版本)」和「社区版」,专业版功能最强大,主要是为 Python 和 web 开发者而准备,是需要付费的。社区版是专业版的阉割版
POC.rar_绕过GD渲染
09-21
在IT安全领域,尤其是Web应用安全中,"POC"...总之,理解如何绕过GD库的编码对于提高Web应用的安全性至关重要。通过学习和分析这样的POC,开发者可以更好地了解潜在威胁,及采取措施来保护他们的系统免受攻击。
Php mySql注入漏洞分析与研究.pdf
10-10
PHP MySQL注入漏洞】是指在使用PHP编程...通过深入理解注入的原理,结合实例分析,可以更好地理解和防止这类漏洞的发生。同,参考相关的文献和技术资料,持续学习和改进安全策略,也是提高网站安全性的必要途径。
PHP实例开发源码—Mysql BackDoor PHP+Mysql服务器 后门.zip
11-22
1. **代码审查**:定期进行代码审查,检查是否存在可疑的函数调用、不常见的文件包含或者不寻常的网络请求。 2. **最小权限原则**:确保每个PHP脚本和数据库用户只拥有执行其正常功能所需的最低权限,限制潜在的...
【实战篇】第20篇:SQL二次编码注入漏洞实例(附tamper脚本)1
08-03
SQL二次编码注入漏洞是非常危险漏洞,攻击者可以通过双重URL编码绕过应用程序的输入验证机制,从而获取数据库敏感数据。因此,在编程中,需要严格校验用户输入,防止SQL注入漏洞的发生。同,需要定期对系统进行...
深信服edr终端检测响应平台(_3.2.21)代码审计挖掘(权限绕过)1
08-03
本文将对平台的代码结构、权限绕过漏洞等进行详细的分析和解释。 一、代码结构分析 深信服EDR终端检测响应平台的代码结构主要分为以下几个部分: 1. CASCADE:该目录下包含了平台的核心组件,包括数据库交互、...
详细介绍stristr函数的用法, 一看必懂。。。。。。
07-05
详细介绍stristr函数的用法, 一看必懂。。。。。。
python的基础操作_python基础操作
weixin_42515622的博客
01-12 256
1.打印操作print('2222')2。接收用户输入name=input('name')3.if else判断name='qiao'name2='师弟'username=input('输入名字')if username==name:print('hello'+name)elif username==name2:print('hello'+name2)else:print('错误')4.多条件判断...
python 操作文件
走范
03-14 380
1 open函数在python中,使用open函数,打开一个已经存在的文件,或者新建一个新文件。函数语法 open(name[, mode[, buffering[,encoding]]])name : 一个包含了你要访问的文件名称的字符串值(区分绝对路径和相对路径)。mode : mode决定了打开文件的模式:只读,写入,追加等。所有可取值见如下的完全列表。这个参数是非强制的,默认文件访问模式为...
30个Python操作小技巧
m0_60001307的博客
07-25 762
30个python操作小技巧分享
XCTF-攻防世界CTF平台-Web类——4、Web_php_include(php中strstr()函数绕过、数据流协议)
Onlyone_1314的博客
11-14 2971
目录标题一级目录方法一、文件包含:php伪协议绕过strstr()函数方法二、文件包含:GET方式提交命令方法三、data://伪协议方法四、一句话木马连接后台方法五、data://伪协议+一句话木马 一级目录 打开题目地址: 代码: <?php show_source(__FILE__); echo $_GET['hello']; //输出hello变量指向的内容 $page=$_GET['page']; //把page变量的值赋给$page while (strstr($page
php绕过
qq_74071644的博客
11-29 902
PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。当MD5加密后以0E开头的字符他们==判断相等。
PHP strstr() 函数
ufan94的博客
09-06 571
strstr
strstr函数使用中的易犯的一个错误
aimu8686的博客
08-12 1487
最近使用ESP8266的候,联网的过程中需要使用strstr函数来读取串口发来的某些重要信息, 使用strstr函数发现某些候能够正常返回需要寻找的字符串的指针,有些候找不到,后来发现原来是这样的问题,举例如下: char Temp[10] = "Hello world!",如果使用strstr(Temp, "world"),是能够正常赶回world在Temp数组中的位置,但是如...
Oracle 9i 分析函数参考手册
09-02
本文是关于Oracle 9i的分析函数参考手册的总结。Oracle从8.1.6开始提供了分析函数,这种函数用于计算基于组的某种聚合值。它与聚合函数的不同之处在于,聚合函数只返回每个组的一行,而分析函数则返回每个组的多行。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值