in_array函数缺陷

最新推荐文章于 2023-06-07 14:44:30 发布
转载 最新推荐文章于 2023-06-07 14:44:30 发布 · 2k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://xz.aliyun.com/t/2451

本文由红日安全成员: 七月火 编写,如有不当,还望斧正。

前言

大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结合实际CMS进行解说。在文章的最后,我们还会留一道CTF题目,供大家练习,希望大家喜欢。下面是 第1篇代码审计文章:

Day 1 - Wish List

题目叫做愿望清单,代码如下:

漏洞解析 :

这一关卡考察的是一个任意文件上传漏洞,而导致这一漏洞的发生则是不安全的使用 in_array() 函数来检测上传的文件名,即上图中的第12行部分。由于该函数并未将第三个参数设置为 true ,这导致攻击者可以通过构造的文件名来绕过服务端的检测,例如文件名为 7shell.php 。因为PHP在使用 in_array() 函数判断时,会将 7shell.php 强制转换成数字7,而数字7在 range(1,24) 数组中,最终绕过 in_array() 函数判断,导致任意文件上传漏洞。(这里之所以会发生强制类型转换,是因为目标数组中的元素为数字类型)我们来看看PHP手册对 in_array() 函数的定义。

in_array :(PHP 4, PHP 5, PHP 7)

功能 :检查数组中是否存在某个值

定义 : bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )

在 $haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 TRUE ,则 in_array() 函数会进行强检查,检查 $needle 的类型是否和 $haystack 中的相同。如果找到 $haystack,则返回 TRUE,否则返回 FALSE

实例分析

本次实例分析,我们选取的是 piwigo2.7.1 版本。该版本由于SQL语句直接拼接 $rate 变量,而 $rate 变量也仅是用 in_array() 函数简单处理,并未使用第三个参数进行严格匹配,最终导致sql注入漏洞发生。下面我们来看看具体的漏洞位置。漏洞的入口文件在 include\functions_rate.inc.php 中,具体代码如下:

当 $_GET['action'] 为 rate 的时候,就会调用文件 include/functions_rate.inc.php 中的 rate_picture 方法,而漏洞便存在这个方法中。我们可以看到下图第23行处直接拼接 $rate 变量,而在第2行使用 in_array()函数对 $rate 变量进行检测,判断 $rate 是否在 $conf['rate_items'] 中, $conf['rate_items'] 的内容可以在 include\config_default.inc.php 中找到,为 $conf['rate_items'] = array(0,1,2,3,4,5);

由于这里(上图第6行)并没有将 in_array() 函数的第三个参数设置为 true ,所以会进行弱比较,可以绕过。比如我们将 $rate 的值设置成 1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));# 那么SQL语句就变成:

INSERT INTO piwigo_rate (user_id,anonymous_id,element_id,rate,date) VALUES (2,'192.168.2',1,1,1 and if(ascii(substr((select database()),1,1))=112,1,sleep(3)));#,NOW()) ;

这样就可以进行盲注了,如果上面的代码你看的比较乱的话,可以看下面简化后的代码:

漏洞利用

接下来我们直接用sqlmap进行验证, payload 如下:

sqlmap -u "http://192.168.2.211/piwigo/picture.php?/1/category/1&action=rate" --data "rate=1" --dbs --batch

修复建议

可以看到这个漏洞的原因是弱类型比较问题,那么我们就可以使用强匹配进行修复。例如将 in_array() 函数的第三个参数设置为 true ,或者使用 intval() 函数将变量强转成数字,又或者使用正则匹配来处理变量。这里我将 in_array() 函数的第三个参数设置为 true ,代码及防护效果如下:

结语

看完了上述分析,不知道大家是否对 in_array() 函数有了更加深入的理解,文中用到的CMS可以从 这里 下载,当然文中若有不当之处,还望各位斧正。如果你对我们的项目感兴趣,欢迎发送邮件到 hongrisec@gmail.com 联系我们。Day1 的分析文章就到这里,我们最后留了一道CTF题目给大家练手,题目如下:

//index.php
<?php
include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("连接失败: ");
}

$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)']);
}

$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";

if (!in_array($id, $whitelist)) {
    die("id $id is not in whitelist.");
}

$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    echo "<center><table border='1'>";
    foreach ($row as $key => $value) {
        echo "<tr><td><center>$key</center></td><br>";
        echo "<td><center>$value</center></td></tr><br>";
    }
    echo "</table></center>";
}
else{
    die($conn->error);
}

?>

//config.php
<?php  
$servername = "localhost";
$username = "fire";
$password = "fire";
$dbname = "day1";

function stop_hack($value){
    $pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
    $back_list = explode("|",$pattern);
    foreach($back_list as $hack){
        if(preg_match("/$hack/i", $value))
            die("$hack detected!");
    }
    return $value;
}
?>

# 搭建CTF环境使用的sql语句
create database day1;
use day1;
create table users (
id int(6) unsigned auto_increment primary key,
name varchar(20) not null,
email varchar(30) not null,
salary int(8) unsigned not null );

INSERT INTO users VALUES(1,'Lucia','Lucia@hongri.com',3000);
INSERT INTO users VALUES(2,'Danny','Danny@hongri.com',4500);
INSERT INTO users VALUES(3,'Alina','Alina@hongri.com',2700);
INSERT INTO users VALUES(4,'Jameson','Jameson@hongri.com',10000);
INSERT INTO users VALUES(5,'Allie','Allie@hongri.com',6000);

create table flag(flag varchar(30) not null);
INSERT INTO flag VALUES('HRCTF{1n0rrY_i3_Vu1n3rab13}');

题解我们会阶段性放出,如果大家有什么好的解法,可以在文章底下留言,祝大家玩的愉快!

[红日安全]代码审计Day1 - in_array函数缺陷
hongrisec的博客
03-09 526
本文由红日安全成员: 七月火 编写,如有不当,还望斧正。 前言 大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结...
in_array函数漏洞
weixin_38230961的博客
08-28 2631
#以下,'7eee'被强制转换成整型 7 var_dump(in_array('7eee', [1, 2, 7, 9]));//true #如果第三个参数设置为 true,函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true。 var_dump(in_array('7eee', [1, 2, 7, 9], true));//false 同理: $v = in_array(0...
in_array函数缺陷(原理+实战)
叶子的Blog
11-08 4372
函数缺陷原理 先看一段代码 这里可以很容易理解出,如果上传的文件名是1-24中的一个,那么就将文件进行上传。 下面是in_array()函数的定义。 in_array:(PHP 4, PHP 5, PHP 7) 功能 :检查数组中是否存在某个值 定义 : bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 在 $haystack 中搜索 $needle ,如果第三个参数 $strict..
php中使用in_array易产生代码安全漏洞
温柔手的专栏
06-07 3320
执行上面的代码看看,你想说什么?我是惊出了冷汗的in_array常被老手们这样用做变量检查,但显然结果并不靠谱。为什么会这样呢?再试试这个问题似乎是PHP的默认类型转换造成的,数字与字符串比较时,字符串先被强制转成数字再进行了比较。真的是这个原因吗?爱较真的朋友请自行查看PHP源码,没准你还会发现其他问题。其实in_array
in_array绕过
08-24
- *1* *2* [PHP-Audit-Labs Day1:in_array函数缺陷](https://blog.csdn.net/weixin_43872099/article/details/106927502)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
代码审计—红日安全day1,in_array()和make_set函数
negnegil的博客
06-10 510
红日安全代码审计——day1 地址:https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day1/files/README.md in_array()函数缺陷 先来看看in_array()的定义: in_array — 检查数组中是否存在某个值 in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) : bool 大海捞针,在大海(haystack)
occupancy_head = god_head_output['occupancy'] # torch.Size([1, 16, 576, 224]) semantic_label = torch.argmax(god_head_output['semantic'].reshape(b, c, -1, h, w), dim=2) # torch.Size([1, 16, 576, 224]) visiblility_head = god_head_output['visibility'] # torch.Size([1, 16, 576, 224]) drivable_head = drivable_output['drivable'] # torch.Size([1, 1, 576, 224]) # vis head ================================== timestamp = int(time.time()) vis_path = os.path.join('/home/data/lk/disturb/vis', str(timestamp)) os.makedirs(vis_path, exist_ok=True) drivable_array = drivable_head.cpu().numpy() drivable_array = drivable_array.squeeze() # 去掉批次和通道维度 plt.imshow(drivable_array, cmap='gray') plt.title('Drivable Area Visualization') plt.xlabel('Width') plt.ylabel('Height') fig_path = os.path.join(vis_path, 'drivable_area.png') plt.savefig(fig_path) plt.close() occupancy_array = occupancy_head.cpu().numpy() semantic_array = semantic_label.cpu().numpy() visibility_array = visiblility_head.cpu().numpy() occupancy_array = occupancy_array.squeeze() # 去掉批次维度 semantic_array = semantic_array.squeeze() visibility_array = visibility_array.squeeze() colors = plt.cm.tab20.colors # 将类别标签映射为颜色 semantic_image = np.zeros((semantic_array.shape[0], semantic_array.shape[1], 3)) for i in range(semantic_array.shape[0]): for j in range(semantic_array.shape[1]): if semantic_array[i, j] < len(colors): semantic_image[i, j] = colors[semantic_array[i, j]] fig, axes = plt.subplots(1, 3, figsize=(15, 5)) axes[0].imshow(occupancy_array, cmap='hot') axes[0].set_title('Occupancy Map') axes[0].axis('off') axes[1].imshow(semantic_image) axes[1].set_title('Semantic Labels') axes[1].axis('off') axes[2].imshow(visibility_array, cmap='hot') axes[2].set_title('Visibility Map') axes[2].axis('off') plt.tight_layout() fig_path1 = os.path.join(vis_path, 'other.png') plt.savefig(fig_path1) plt.close() 帮我检查一下这段可视化
最新发布
10-12
for j in range(semantic_array.shape[1]): # 576 if semantic_array[i, j] (colors): # 这里semantic_array[i,j] 是一个224的向量? 所以这里的问题是:经过squeeze()后的`semantic_array`形状为(16,576,224),...
data_array.append的作用
09-17
- NumPy 数组的拼接使用函数 `np.append(array, values)`,它不修改原数组,而是返回一个新数组。例如: ```python import numpy as np arr = np.array([1, 2, 3]) new_arr = np.append(arr, [4]) # 返回新数组...
[代码审计Day1] in_array代码审计
笑花大王
03-13 212
简介 1 简介 in_array() 函数搜索数组中是否存在指定的值。 语法:in_array(search,array,type) 参数描述 search 必需。规定要在数组搜索的值。 array 必需。规定要搜索的数组。 type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 class Challenge { //...
PHP-Audit-Labs Day1:in_array函数缺陷
0xdawn的博客
06-23 976
in_array() 函数 函数介绍 in_array() 函数搜索数组中是否存在指定的值。 in_array(search,array,type) 参数 描述 search 必需。规定要在数组搜索的值。 array 必需。规定要搜索的数组。 type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 如果search参数是字符串且type参数被设置为TRUE,则搜索区分大小写且检查数据类型。 in_array绕过 class Challenge{
php中in_array()和array_search()函数缺陷
programercch的博客
03-04 872
当使用in_array()或array_search()函数时,如果$strict参数没有设置为true,则将使用松散比较来判断$needle是否在$haystack中. 下面是in_array()或array_search函数在没有设置$strict参数时的执行结果 $arr = [0,1,2,'3']; var_dump(in_array('abc', $arr, true));//tr...
php中in_array需要注意的一点
对代码不满足,是任何真正有天才的程序员的根本特征。
05-19 2909
示例 $needle = '1abc'; $haystack = array(1,2,3); var_dump(in_array($needle, $haystack)); 解释 根据官方文档函数in_array的描述 bool in_array(mixed $needle, array $haystack [,bool strict FALSE]) 在haystack中搜索ne
2个自定义的PHP in_array 函数,解决大量数据判断in_array的效率问题
ltx06的专栏
04-24 1121
大家可能都用过in_array来判断一个数据是否在一个数组中,一般我们的数组可能数据都比较小,对性能没什么影响,所以也就不会太在意。 但是如果数组比较大的时候,性能就会下降,运行的就会久一点,那如果针对在大数组情况下做优化呢,下面说两种方法(都是通过自定义函数来实现): 1.数组key与value翻转,通过isset判断key是否存在于数组中 复制代码代码如下:
in_array()的那些坑
不求前途凶吉,但求落幕无悔!
04-09 7064
先介绍一下需求背景: 发票方式: 0=捐赠(不要问我为什么,历史原因) 1=对中寄送 2=索取 3=电子发票 现在要对用户提交的数据进行检测: php;auto-links:false;"&gt;if(!in_array($_POST['invoice_action'], array(0,1,2,3))){ throw new Exception...
IN_ARRAY用了这么多年才会用!真尴尬
井底之蛙
07-26 2409
程序员,又被叫做程序猿,攻城师,码农。是一群专注于敲代码,想通过代码改变世界的一帮有理想有志向的人。 /** * @description in_array记录 * @author Angus * @email zhn6@sina.cn */ public function INARRAY(){ $Sex = array(...
将数组作为sqlin的查询条件
weixin_64962562的博客
06-07 2584
select 字段名 from 表名 where userid in ('123','12345','3456','7896’)例如将一个数组['123','12345','3456','7896‘] 作为一个SQL语句的查询条件,正常这个语句应该是。当数组数据已知且固定我们可以手动将数据填入sql语句中,当不可知或数据多时可以通过循环写入。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值