php代码审计片段 02 绕过过滤的空白字符

最新推荐文章于 2024-05-11 22:18:33 发布
最新推荐文章于 2024-05-11 22:18:33 发布
阅读量279 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Saigyoji_Yuyuko/article/details/131537056
版权

源码点这:bowu678/php_bugs: PHP代码审计分段讲解 (github.com)

掌握本题应具备的能力/技巧:php基础知识、对php特定函数的理解、对URL编码与ASCII码的理解与使用。(python基本语法的掌握、python Requests库的基础使用)【可选用】


甜点部分:

ini_set("display_error", false);    #关闭错误报告

error_reporting(0); //关闭所有PHP错误报告

foreach([$_GET, $_POST] as $global_var) { 
    foreach($global_var as $key => $value) { 
        $value = trim($value);  //trim — 去除字符串首尾处的空白字符(或者其他字符)
        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串
    } 
}

 #req数组里 有一系列键值对,键与值是通过GET和POST接收的,例如url为xxx.php?a=2

则$_GET["a"]=2      在req数组也有$req["a"]=2,req数组的值用addslashes做过防注入,且用trim函数去除过前后两端的空格

正餐部分:

第一个函数:is_palindrome_number($number)      #palindrome:回文

strval($number)函数获取$number的变量值,然后将这个字符串两端向中间逐渐比较,用这种方式判断,传入参数$number是否为回文字符串。

整体通读可以得知,想要转到Flag里,就要满足以下四个条件:

①:is_numeric($_REQUEST['number']) ==0     

is_numeric函数必须判断REQUEST中number的值不为数字。

②:$req['number'] == strval(intval($req['number']))

req数组的number经过strvalintval这两个函数筛选后,必须不变。

③:$value1 == $value2

                $value1 = intval($req["number"])

                $value2 =intval(strrev ($req["number"]) )

$req数组中number的值,经过intval函数处理后得到的值, 必须等于经过strrev函数与intval函数双重处理后的值。

④:is_palindrome_number $req["number"] ) == 0

$req数组中number的值传入函数i_p_n中,必须返回0,也就是说,回文函数应该判断number不是回文数。

由上可得,传入参数number既要是回文数,又得满足一系列条件。

number=11    就不能够满足条件①。

从①开始,可以发现,只有①的number是从REQUEST数组里面选的,而②③④的number都是$req数组里的。而$req数组里的number是经过"处理"的(甜点部分)。

所以可用%00这个空字符绕过①,number=%0011,满足条件①不为数字,$REQUEST数组接收number后,会自动去除空字符%00,所以REQUEST["number"]=11 不变。

number=%0011     现在不满足最重要的条件④;

条件④的回文判断是用逻辑写的,而条件②③的回文判断使用函数intval,strrev,strval这三个函数写的,也就是说,添加一个字符,让它绕过条件②③这三个函数,就能满足条件④。

这个符号可以是%0c(换页符 \t ) %2B(+) 

最终结果为number=%00%0c11   或 number=%00%2B11

%2B能够从逻辑上被盘出来;因为intval()对+号的处理比较特殊:

+123 会变成123        123+ 会变成 123     1+23  会变成 1       12+3 会变成 12

这样将+号放数字前面就能绕过条件②③了。

下面介绍Fuzzing(模糊测试)思路。

%00{?}11     ?为ASCII字符,要找到一个ASCII字符让它满足上面的②③④条件。

#基本ASCII码128位,再加扩展ASCII码128位,共256位  所以是%00 到%255 但是这里需要用16进制      就是%00~%FF
#hex(1)=0x1

#理解这段代码着重python的“字符串切片”以及“格式化输出”

import requests
for i in range(256):
    i=str(hex(i))               
    if len(i)==3:               #0x1  把x去了
        i=i[0:1:]+i[2::]
    else:                       #0x10 把0x去了
        i=i[2::]
    i="%"+i
    #print(i)
    number=f"%00{i}11"
    re = requests.get(f"http://127.0.0.1/php_bugs/02%20%E7%BB%95%E8%BF%87%E8%BF%87%E6%BB%A4%E7%9A%84%E7%A9%BA%E7%99%BD%E5%AD%97%E7%AC%A6.php?number={number}")
    #print(re.text)
    if "x" in re.text:
        print(i)

硕大的叶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
敏感词库php数组,PHP 实现敏感词 / 停止词 过滤(附敏感词库),敏感类词语大全...
weixin_30413765的博客
03-26 1539
PHP 实现敏感词 / 停止词 过滤(附敏感词库)PHP实现了敏感词/停用词过滤(带敏感词库),过滤敏感单词和字符是网站,的一项基本功能,因此有必要设计一个好的、高效的过滤算法。在敏感词过滤算法,必须减少计算量,而DFA算法几乎没有计算量,只有状态转移。因此,需要DFA算法来更高效地过滤敏感词。整理过滤函数代码如下:/***注意:[多过滤过滤字符的敏感词]*AuthorHeZe*日期202...
upload-labs Pass-03
weixin_48499033的博客
03-29 181
upload-labs Pass-03 先看源码 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['upload_file']['name']); $file_n
代码审计:文件上传(.空格.)绕过
qq_22132931的博客
10-29 398
代码审计:文件上传(.空格.)绕过
攻防世界-web-unseping
最新发布
MateSnake的博客
05-11 1142
攻防世界-web-unseping
php绕过空格过滤,网络渗透上传漏洞闯19关-第六关 空格绕过黑名单
weixin_39880150的博客
03-12 249
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".j...
php代码学习(二)绕过空白过滤
tutu123456789101112的博客
02-28 1426
<?php $info = ""; $req = []; $flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"; ini_set("display_error", false); //为一个配置选项设置值 error_reporting(0); //关闭所有PHP错误报告 if(!isset($_GET['numb
文件上传--Upload-labs--Pass06--空格绕过
2302_79800344的博客
02-18 449
空格绕过
利用一段代码绕过PHP授权代码
12-30
今天给大家带来一个绕过授权的教程,请仔细看哦! 第一步:首先你需要改名全局文件 比如说全局文件 common.php,那么 你将他改为core.php 第二步:创建文件 创建一个文件,和改名前的全局文件名称一样,然后把...
php表单敏感字符过滤代码类.zip
07-11
"php表单敏感字符过滤代码类.zip"提供的就是一个专门用于处理这类问题的PHP类库,它包含了对表单数据进行过滤和验证的功能。 这个类库的主要功能包括: 1. **表单函数输出**:类库可能包含自定义的函数,用于生成...
php代码审计入坑实践.pdf
07-30
PHP 代码审计入坑实践》是一篇针对初学者的指南,旨在介绍如何开始进行PHP代码的安全审计。本文主要利用了RIPS等工具,通过实际操作来帮助新手逐步理解代码审计的过程。 首先,文章提到了“场景”,这可能是指...
PHP代码审计文档.zip
11-02
第8课:代码审计之代码执行漏洞mp4 第7课:PHP代码审计宽字节注入及二次注入mp4 第6课:PHP代码审计SQL注入漏洞mp4 第5课:审计涉及的超全局变量mp4 第4课:代码调试及 Xdebug的配置使用mp4 第3课:PHP核心配置详解mp4...
PHP代码审计资料整理
03-04
PHP代码审计是软件开发过程的一个重要环节,尤其是在后端开发领域。它涉及到对PHP源代码进行深入检查,以发现潜在的安全漏洞、性能瓶颈和其他质量问题。本资料整理将围绕PHP代码审计这一主题,涵盖PHP开发语言的...
php的正则绕过
Hammers_12的博客
09-07 1465
一、空格正则绕过: ${IFS} 但不能写作 $IFS $IFS$9 %09 <> < 二、 在PHP,在正则绕过时可以利用\包裹住被过滤的函数,以此达到绕过的目的。例如: cat 进黑名单,用 c\a\t 绕过 空格进黑名单,用 ${IFS} 或者 %09 绕过 ✳ 和 flag 都被过滤,用和 ✳ 差不多的 ? 绕过,即 ???,获取四位的 flag ...
命令执行各种绕过总结
m0_64815693的博客
10-11 8614
最近做了题目很多都有命令执行的,这里给自己做一次总结,也给大家一个参考,有各种绕过,十分的详细哦
php实现简单的基于DFA算法的敏感词过滤
2lovecode blog
12-13 4896
最近一个学Go语言朋友,给我发了一篇文章http://blog.csdn.net/chenssy/article/details/26961957,讲的是使用DFA(即Deterministic Finite Automaton,有穷自动机)算法实现敏感词的过滤。问我能不能使用php来实现,感谢chenssy大大的精彩文章,下面是我仿照版本的php实现。
渗透测试-文件上传之过滤绕过(二)
lza20001103的博客
04-16 3022
渗透测试文件上传之过滤绕过(二)
PHP代码/命令执行漏洞总结
坚持硬核
02-04 2036
由于没有针对代码可执行的特殊函数入口做过滤,导致用户可以提交恶意语句,并交由服务器端执行。 代码/命令注入攻击Web服务器没有过滤类似system(),eval(),exec()等函数的传入参数是该漏洞攻击成功的最主要原因。 代码注入相关函数: 1.mixed eval(string code_str) eval() 把字符串作为PHP代码执行 code_str是PHP代码字符串 2.bool assert ( mixed $assertion [, string $description
php绕过漏洞的函数,PHP有漏洞的函数总结
weixin_30670053的博客
04-06 661
本篇文章讲述了PHP存在这一些带有小漏洞的PHP函数,没有了解过PHP有漏洞函数的可以看看,在实际的PHP开发用到这些函数时需要注意哪些东西,我们废话少说,一起来看看这篇文章吧!1.弱类型比较2.MD5 compare漏洞PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈...
基于PHP实现高性能敏感词过滤算法
always9的博客
04-17 1386
公司新项目素材编辑功能需要提供敏感词过滤功能,于是上网查了下,很多都是基于trie算法的,但基于PHP写的却少有,或者部分存在bug。所以,自己在别人的基础上进行了完善。 敏感词过滤算法实现 class TreeMap { public $data; // 节点字符 public $children = []; // 存放子节点引用(因为有任意个子节点,所以靠数组来存储)...
php代码审计-代码执行.pdf
12-14
//`绕过限制。 1.1-2---优先执行${} 在双引号,`${}`内的变量会被解析,这可能导致代码执行。以下是一些利用此特性的例子: 案例1: ```php <?php $data=$_GET['data']; eval("\$ret=strtolower('$data');"); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值