Bugku CTF php代码审计

已于 2024-05-03 13:44:26 修改
阅读量297 收藏 8
点赞数 5
文章标签: php
于 2024-05-03 13:40:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houguan1/article/details/138414831
版权

<?php
error_reporting(0);
error_log(0);

require_once("flag.php");

function is_trying_to_hak_me($str)
{   
    $blacklist = ["' ", " '", '"', "`", " `", "` ", ">", "<"];
    if (strpos($str, "'") !== false) { //判断$tr是否有引号,有则进入下面
        if (!preg_match("/[0-9a-zA-Z]'[0-9a-zA-Z]/", $str)) { //判断写反了,导致存在漏洞
            /*
           返回 pattern 的匹配次数。 它的值将是 0 次(不匹配)或 1 次,因为 preg_match() 在第一次匹配后 将会停止搜索。preg_match_all() 不同于此,它会一直搜索subject 直到到达结尾。
           如果发生错误preg_match()返回 FALSE。
           如果存在单有引号两边有数字或字符的字符串,构造admin'ddd,这样的字符串,模式匹配,得到1,然后加!得到假,这样返回false

           */
            return true;
        }
    }
    foreach ($blacklist as $token) {
        if (strpos($str, $token) !== false) return true; //只要单引号两边没有空格字符就能返回false
    }
    return false;
}

if (isset($_GET["pls_help"])) {
    highlight_file(__FILE__);
    exit;
}
   
if (isset($_POST["user"]) && isset($_POST["pass"]) && (!empty($_POST["user"])) && (!empty($_POST["pass"]))) {
    $user = $_POST["user"];
    $pass = $_POST["pass"];
    if (is_trying_to_hak_me($user)) {
        die("why u bully me");
    }

    $db = new SQLite3("/var/db.sqlite");
    $result = $db->query("SELECT * FROM users WHERE username='$user'");
/*
构造如下语句
a'union select 1,'8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92$456'--

'union左边可以不用空格,sqllite3为什么可以这样没明白

其中8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92为hash("sha256",'123'.'456')生成
密码填123
*/

    if ($result === false) die("pls dont break me");
    else $result = $result->fetchArray();

    if ($result) {
        $split = explode('$', $result["password"]);
        $password_hash = $split[0];
        $salt = $split[1];
        if ($password_hash === hash("sha256", $pass.$salt)) $logged_in = true;
/*
$result["password"]为注入的8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92$456
$password_hash为8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92
$salt为456
hash("sha256", "123"."456")
*/
        else $err = "Wrong password";
    }
    else $err = "No such user";
}
?>

<!DOCTYPE html>
<html>
<head>
    <title>Hack.INI 9th - SQLi</title>
</head>
<body>
    <?php if (isset($logged_in) && $logged_in): ?>
    <p>Welcome back admin! Have a flag: <?=htmlspecialchars($flag);?><p>
    <?php else: ?>
    <form method="post">
        <input type="text" placeholder="Username" name="user" required>
        <input type="password" placeholder="Password" name="pass" required>
        <button type="submit">Login</button>
        <br><br>
        <?php if (isset($err)) echo $err; ?>
    </form>
    <?php endif; ?>
    <!-- <a href="/?pls_help">get some help</a> -->
</body>
</html>

houguan1
关注
ctf php代码审计 绕过,Bugku CTF代码审计解题记录
weixin_35870524的博客
04-11 869
前言此笔记为在Bugku CTF平台上做代码审计题目的过程,也算是一篇wp吧extract变量覆盖extract($_GET):$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量file_ge...
BugkuCTF(代码审计) WriteUp
CallMeSa1tyFish的博客
08-06 3731
代码审计部分 extract变量覆盖 题目 &amp;amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; }else{ ...
ctf代码审计以及自己的总结
weixin_43999372的博客
02-22 5545
in_array :(PHP 4, PHP 5, PHP 7) 功能 :检查数组中是否存在某个值 定义 : bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 在 $haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 TRUE ,则 in_array() 函数会进行强检查,检查 $needle 的类型是否和 $haystack 中的相同
CTF-代码审计-PHP
m0_74317362的博客
09-25 372
将代码复制到everedit中,可以看到乱码。要传参的变量名及其值都变了。
CTF-PHP审计
qq_53142368的博客
06-07 983
来一篇刷题的文章: PHP原生类 源码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1
CTF-PHP代码审计学习笔记分享
m0_62945162的博客
06-12 1499
CTF学习笔记分享-PHP代码审计。自己总结,若有错误,请联系改正,谢谢!
PHP代码审计笔记(ctf)
最新发布
qq_41738909的博客
03-08 173
字符串在没遇到字符前都是可以跟数字进行比较的,所以在传入的数的最后添加任意字符就可以绕过字符比较(在php8之后可能不允许这样了绕过is_numeric函数)就是array_search函数的执行逻辑其实就是对数组中的数据进行比较,如果满足相等就返回下标索引。可以用科学计数法如1e3>60000。
BugkuCTF-代码审计
Alita_lxz的博客
10-30 320
BugkuCTF-WEB-第1题到第16题
BugKuCtf-代码审计
qq_37779690的博客
02-28 319
1、extract变量覆盖 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?&gt; 定义和用法 ex...
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4484
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
ctf中的php代码审计
qq_40273198的博客
05-04 2939
ctf题时,遇到审计题时可能会遇到,翻翻记录可以很快的找到脑洞。1.PHP$flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'ctf{xxx}'; }...
CTFPHP代码审计1
bmth666的博客
03-10 3956
弱类型 $a==$b 等于 ture:如果类型转换后$a等于$b $a===$b 全等 ture:如果$a等于$b,并且他们的类型也相同 如果一个数值和一个字符串比较,那么会将字符串转换为数值 <?php var_dump(true==2);//true var_dump(true==0);//false var_dump(''==0);//true var_dump(0==false);/...
CTFPHP代码漏洞审计
weixin_43934591的博客
05-02 685
1、变量覆盖     extract造成的变量覆盖       extract($array)的作用是将数组键名作为变量名,使用数组键值作为变量值。它存在一个安全漏洞,若使用函数默认参数,那么如果数组中的某个键值在php代码中的某个变量名相同,那么就会覆盖这个变量。   &nbs...
[CTF] 关于php代码审计的MD5类的练习
ZXW_NUDT的博客
12-03 2897
练习1 PHP代码: <?php error_reporting(0); highlight_file("pass-01.php"); if(isset($_GET["pass"])){ if($_GET["pass"] != hash("md4", $_GET["pass"])){ die('fail~~~'); }else{ echo "success!!!<br>";
CTFPHP代码审计2
bmth666的博客
03-11 1803
ctfphp代码审计,从入门到入土!!! 变量覆盖之:extract函数的漏洞,$$的漏洞,parse_str的漏洞 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 由于php中可以使用$$声明变量,因此当在遍历数组时可能会覆盖原来的值 全局变量的问题:bugku之变量1 空白符的问题
ctfshow web5--php代码审计
Dream'
10-18 254
问题描述 问题解决 题目只有一段php代码,要读懂这段代码,首先要知道ctype_alpha和is_numeric这两个函数 去百度一下 所以这段代码的意思就是,通过get方式传入两个参数v1,v2,要求: 1. v1 只包含字符 2. v2只包含数字 3. v1和v2做md5散列运算后的值相同 这里传入v1=QNKCDZO&v2=240610708,得到flag 关于md5运算后值相同问题看我另一篇博客:md5值相同,但未计算md5的值不同的绕过...
PHP代码审计 -- 以ctfshow php特性 93-104为例
qq_44640313的博客
08-01 248
ctfshow php特性 93-104
CTF-Web14(涉及PHP代码审计——不走寻常路的绕过)
→_→
09-02 773
14.程序逻辑问题 分析: 查看源代码: 初了解(可略):mysql_fetch_array() 中可选的第二个参数 result_type 是一个常量,可以接受以下值:MYSQL_ASSOC,MYSQL_NUM 和 MYSQL_BOTH。本特性是 PHP 3.0.7 起新加的。本参数的默认值是 MYSQL_BOTH。如果...
【Web方向】 PHP代码审计 CTF题目wp1
wanderer的博客
11-14 1885
好难的题!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值