bugku ereg正则%00截断

最新推荐文章于 2022-11-22 15:22:10 发布
最新推荐文章于 2022-11-22 15:22:10 发布
阅读量401 收藏 2
点赞数 1
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52432374/article/details/113647955
版权

ereg正则%00截断

<?php
$flag = "xxx";
if (isset ($_GET['password']))
{
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
{
echo '

You password must be alphanumeric
';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置
{
die('Flag: ' . $flag);
}
else
{
echo('

- have not been found
');
}
}
else
{
echo '

Invalid password
';
}
}
?>

解题

1.if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
表示必须有a-zA-Z0-9
2.if (strpos ($_GET['password'], '-') !== FALSE)
password中必须有‘-’
3.else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
长度<8且大小>9999999

4.解题方法

(1):利用数组绕过这两个函数

  • ereg() 只能处理字符串,而password是数组,所以返回的是null,三个等号的时候不会进行类型转换。所以null!==false。
    if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)

  • strpos() 的参数同样不能够是数组,所以返回的依旧是null,null!=false也正确。
    即if (strpos ($_GET[‘password’], ‘-’) !== FALSE)`
    Payload:?password[]=1

(2):%00截断绕过正则匹配
(ereg函数存在NULL截断漏洞,导致了正则过滤被绕过,所以可以使用%00截断正则匹配)

  • 判断是不是长度<8且大小>9999999

  • 判断是不是有“-

payload:?password=1e9%00*-*

Bugku ——ereg正则截断 真•小白理解 与strlen函数问题
Shen__Kong的博客
09-24 1071
Bugku ——ereg函数绕过与strlen函数问题 题目地址:http://123.206.87.240:9009/5.php 注:本人认为strlen函数&&逻辑符号哪里有问题。 这题很简单不过很有意思的,它做了很多条件判断,首先要知道在PHP语言中有很多内置判断的函数遇到“数组”时会返回NULL。 说点PHP小知识点:关于PHP对逻辑判断符号“”,当它遇到: nullfal...
bugku ereg正则%oo截断
qq_42777804的博客
08-06 1189
if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '<p>You password must be alphanumeric</p>'; } else if (strlen($_GET['password']) &...
buku---PHP代码审计—ereg正则%00截断
kuller_Yan的博客
10-21 263
buku—PHP代码审计—ereg正则%00截断 <?php $flag = "xxx"; if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo ' You password must be alphanumeric '; } else if (strlen($_GET['password']) < 8 && $_GET['passwo
代码审计-ereg正则%00截断
diemozao8175的博客
08-25 350
<?php $flag = "xxx"; if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo 'You password must be alphanumeric '; } else if (strlen($_GET['...
ereg正则截断
giun的博客
04-16 494
<?php $flag = "flag"; if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '<p>You password must be alphanumeric</p>'; } els...
Bugku web — ereg正则%00截断(代码审计) ——详细题解
日熙的博客
09-28 2939
题目地址: http://123.206.87.240:9009/5.php 整理一下代码如下: if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '<p>You password must be alphanumeric</p>'; } else if (strlen($_GET['password']) < 8 &am
bugku-代码审计 writeup
Peithon的博客
04-29 6165
代码审计 在做bugku 代码审计的题时,发现有好多函数的绕过是之前没留意到的,记录一下 1.extract变量覆盖 题目地址:http://120.24.86.145:9009/1.php &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)...
Bugku代码审计
nzw1134864657的博客
10-14 221
strcmp比较字符串 strcmp(a1,a2)函数用来比较两个字符串是否相等的, 比较的是对应字符的ascii码,如果相等返回0, 当a1的ascii大于a2的返回小于0,a1的ascii码小于a2的,返回大于0. 但是这个函数是存在漏洞的,我们知道这个函数是用来比较字符串的, 但是当我们传入为数组是,那变成字符串和数组进行比较了, 因此php在5.2之前,默认返回的-1,5.2版本之后返回0...
BugKuCtf-代码审计
qq_37779690的博客
02-28 342
1、extract变量覆盖 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?&gt; 定义和用法 ex...
VulnCTF的练习教室v1.0-------WEB-----------第五题【ereg()截断
大方子
10-05 642
      题目:   由代码可知,正则进行匹配出现不属于[a-z,A-Z,0-9]范围内的元素就会输出报错文字,但是下面的语句又是通过strpos来查询指定字符串出现的位置,但是匹配的又是 ——,如果是其他的情况的话就会输出Invalid password   通过经验这里我直接通过传入一个数组直接绕过  ...
php 00截断,文件上传之\00截断与文件包含之%00截断 文件包含漏洞详解 – jinglingshu的博客...
weixin_39640845的博客
03-09 4054
首先要明确\00截断%00截断的关系:00截断就是将上传文件的文件名或路径名中使用ascii码值为0的字符进行截断来达到突破上传限制的目的,而%00一般用在URL中用于截断url来进行文件包含。两者之间的关系是:%00是ascii值为0字符的url编码形式,两者原理其实是一样的。一、\00的路径截断以网站http://www.hongkonggift.com为例,该网站存在注入,通过注入获取管理...
php函数漏洞
h3110n3w0r1d
04-05 1872
1.intval() intval — 获取变量的整数值 说明 int intval ( mixed $var [, int $base = 10 ] ) 通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 参数 var 要转换成 integer 的...
strpos使用不当引发漏洞
qq_37466661的博客
08-08 1306
strpos使用不当引发漏洞
php弱类型比较及绕过
weixin_45349299的博客
11-22 3535
字符串和数字比较使用==时,字符串会先转换为数字类型再比较,若字符串以数字开头,则取开头数字作为转换结果,不能转换为数字的字符串(例如"aaa"是不能转换为数字的字符串,而"123"或"123aa"就是可以转换为数字的字符串)或null,则转换为0;会出现上面的结果是因为字符串在和数字比较的时候会将字符串转化为数字,比如a转换失败成False,False又和0弱类型比较是相等的,所以第一个是true。PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。
Once More--实验吧
Gunther的博客
08-25 1351
http://www.shiyanbar.com/ctf/1805 啊拉?又是php审计。已经想吐了。 hint:ereg()函数有漏洞哩;从小老师就说要用科学的方法来算数。 格式:CTF{} 解题链接: http://ctf5.shiyanbar.com/web/more.php 解: 源码审计: 有提示:1.利用ereg()漏洞%00截断
【Writeup】Boston Key Party CTF 2015(部分题目)
热门推荐
企鹅学coding~
03-05 1万+
假期试着做了一下这场美国的CTF比赛,无奈题目看了一遍都没什么想法,只好等比赛结束再学习了。在这里总结一下通过此次比赛学到的姿势。 以下是六道php代码审计题目。 1.Prudential   I don‘t think that sha1 is broken. Prove me wrong. 代码如下: level1 <?php require 'flag.p
数组返回NULL绕过
weixin_30407613的博客
03-31 204
BUGKU:http://120.24.86.145:9009/19.php 还没看完源码,我就直接加了一个password[]=1结果就拿到flag了。然后再看源码我自己都搞不懂为什么可以得到源码。真的,不信你看。 1 <?php 2 $flag = "flag"; 3 4 if (isset ($_GET['password'])) { 5 if (...
php代码审计(二)
以梦为马,不负韶华
11-30 952
PHP审计的第二次作业
strpos数组绕过NULL、密码md5比较绕过、MD5函数===绕过
giun的博客
05-06 3573
<?php $flag = "flag"; if (isset ($_GET['nctf'])) { if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['nctf'], '#biubiubiu') ...
PHP eregeregi正则表达式详解与应用
PHP中的ereg()和eregi()函数是两种常用的正则表达式处理工具,它们在处理字符串匹配时有所不同。ereg()函数执行标准的大小写敏感的字符串匹配,而eregi()则是其忽略大小写的版本。这两个函数的核心在于接受一个正则...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值