PHP代码审计系列(五)

于 2023-01-01 17:47:45 发布
阅读量642 收藏
点赞数
分类专栏: 从入门到入狱 文章标签: php 开发语言 web安全 后端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18980147/article/details/128514195
版权
文章详细分析了PHP代码中的几个安全审计点,包括数字验证正则表达式绕过、弱类型整数比较绕过、MD5函数验证绕过以及switch语句中的0比较绕过。通过示例代码和绕过payload,展示了如何在这些场景下进行安全防护和潜在的攻击手段。
摘要由CSDN通过智能技术生成

PHP代码审计系列(五)

本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。

数字验证正则绕过

源码如下

<?php

error_reporting(0);
$flag = 'flag{test}';
if  ("POST" == $_SERVER['REQUEST_METHOD']) 
{ 
    $password = $_POST['password']; 
    if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
    { 
        echo 'Wrong Format'; 
        exit; 
    } 
    while (TRUE) 
    { 
        $reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/'; 
        if (6 > preg_match_all($reg, $password, $arr)) 
            break; 
        $c = 0; 
        $ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字  [[:upper:]] 任何大写字母  [[:lower:]] 任何小写字母 
        foreach ($ps as $pt) 
        { 
            if (preg_match("/[[:$pt:]]+/", $password)) 
                $c += 1; 
        } 
        if ($c < 3) break; 
        //>=3,必须包含四种类型三种与三种以上
        if ("42" == $password) echo $flag; 
        else echo 'Wrong password'; 
        exit; 
    } 
}

?>

通读代码逻辑如下

首先有一个判断,若POST传入的password字符串长度小于12或字符串中存在空格或TAB则输出Wrong Format退出脚本

if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
    { 
        echo 'Wrong Format'; 
        exit; 
    }

接下来进入死循环

匹配规则为标点符号、数字、大小写字母

$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';

若判断匹配规则超过6次直接退出循环

if (6 > preg_match_all($reg, $password, $arr))

遍历数组,若password正则匹配(包含三种或三种以上的类型)则变量c增加1

array('punct', 'digit', 'upper', 'lower')
foreach ($ps as $pt) 
        { 
            if (preg_match("/[[:$pt:]]+/", $password)) 
                $c += 1; 
        }

若c小于3直接退出循环

if ($c < 3) break;

最后如果判断42==password则输出flag

if ("42" == $password) echo $flag;

绕过payload

password=42.0e+000000

成功输出flag

在这里插入图片描述

弱类型整数大小比较绕过

源码如下

<?php

error_reporting(0);
$flag = "flag{test}";

$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;    
if($temp>1336){
    echo $flag;
} 

?>

通读代码,会将password进行数字判断如果为数字则终止脚本

is_numeric($temp)?die("no numeric"):NULL;

并且必须大于1336

if($temp>1336){
    echo $flag;
}

利用弱类型绕过,payload:1337a,在比较时会is_numeric会判断为字符串成功绕过。由于PHP弱类型一个整形和一个其他类型比较时1337a会被转为1337再进行比较

在这里插入图片描述

md5函数验证绕过

源码如下

<?php

error_reporting(0);
$flag = 'flag{test}';
$temp = $_GET['password'];
if(md5($temp)==0){
    echo $flag;
}

?>

主要绕过的是这句话

if(md5($temp)==0)

很多都可以绕过

xxx.php?password
xxx.php
xxx.php?password=1
...

md5函数true绕过注入

源码如下

<?php 
error_reporting(0);
$link = mysql_connect('localhost', 'root', 'root');
if (!$link) { 
  die('Could not connect to MySQL: ' . mysql_error()); 
} 
// 选择数据库
$db = mysql_select_db("security", $link);
if(!$db)
{
  echo 'select db error';
  exit();
}
// 执行sql
$password = $_GET['password'];
$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";
var_dump($sql);
$result=mysql_query($sql) or die('<pre>' . mysql_error() . '</pre>' );
$row1 = mysql_fetch_row($result);
var_dump($row1);
mysql_close($link);
?>

主要绕过的就是以下sql

$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

需要password在md5加密后实现sql注入

例如:

SELECT * FROM admin WHERE pass = ''or'xxx'

而ffifdyop字符串在md5后为

276f722736c95d99e921722cf9ed621c

该hex转换为字符串为

'or'6<trash>

在这里插入图片描述

最终payload=ffifdyop

switch没有break字符与0比较绕过

源码如下

<?php

error_reporting(0);

if (isset($_GET['which']))
{
    $which = $_GET['which'];
    switch ($which)
    {
    case 0:
    case 1:
    case 2:
        require_once $which.'.php';
         echo $flag;
        break;
    default:
        echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
        break;
    }
}

?>

该题在比较which值时,当传入的是字符串(无法转换为数字)在与0比较时为true,而在判断为0时并没有break会直接向下执行到case2输出flag,而不是直接默认default。

payload为包含文件名:?which=xxx

代码审计资料整理——新手学习
10-13
"LAMP安全审计之PHP代码审计_paper.pdf",LAMP(Linux, Apache, MySQL, PHP)是常见的Web开发环境,这份论文可能详细介绍了PHP代码审计的流程和技术,对于PHP初学者而言,这是深入理解PHP安全的关键。 "小脚本,大...
一天一道ctf 第43天(php字符串异或取反绕过)
scrawman的博客
07-24 2709
[极客大挑战 2019]RCE ME 点开题目就是源码 <?php error_reporting(0); if(isset($_GET['code'])){ $code=$_GET['code']; if(strlen($code)>40){ die("This is too Long.");
php error_reporting(0);,php error_reporting()函数的用法举例(错误捕捉)
weixin_42365604的博客
03-13 3580
php error_reporting()函数的用法举例,供大家学习参考。学习CI框架过程中遇到个问题:A PHP Error was encounteredSeverity: NoticeMessage: Undefined variable: user默认的普通PHP文件中输出一个未定义声明的变量是不会报错误的,但在codeigniter框架下却要报错误,这对于想集成 添加 和 修改 页面于一...
php代码审计
qq_48008847的博客
07-12 2474
通用代码审计思路 •根据敏感关键字回溯参数传递过程(逆向追踪) •检查敏感函数的参数,进行回溯变量,判断变量是否可控并且没有经过严格的过滤,这是一个逆向追踪的过程。 •寻找可控参数,正向追踪变量传递过程(正向追踪)•跟踪传递的参数,判断是否存入到敏感函数内或者传递的过程中具有代码逻辑漏洞。 •寻找敏感功能点,通读功能点代码(直接挖掘功能点漏洞)•根据自身经验判断在该应用中的哪些功能可能出现漏洞。 •直接通读全文代码 审计方向: 根据功能点审计:根据业务的功能来进行审计。 用浏览器进行浏览,找
PHP代码审计10—命令执行漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-04 2128
php命令执行基础与CTF例题分析
PHP代码审计12—反序列化漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1647
PHP反序列化入门
代码审计PPT.pdf
06-15
本次分享主要围绕PHP等主流Web框架的代码审计展开。 #### 二、Web框架简介 Web应用框架是用于构建动态网站、网络应用和服务的基础结构。它们提供了一系列工具和约定,以简化开发过程。常见的Web框架包括: - **...
代码审计思路
01-27
代码审计是确保软件安全的重要环节,它涉及到对源代码的深度审查,以识别潜在的安全漏洞和不稳定因素。本文主要探讨了两种主要的代码审计方法,并结合具体的案例来说明如何进行有效的代码审计。 首先,审计方法之一...
Seay源代码审计系统.zip
06-13
5. **多语言支持**:Seay源代码审计系统支持多种编程语言,如Java、Python、PHP、C++等,这意味着它可以在各种类型的项目中发挥作用。 6. **集成开发环境(IDE)插件**:为了方便开发过程中的实时审计,Seay可能...
php代码审计pdf
10-30
### PHP代码审计Web安全边缘性问题分析 #### 一、引言 随着互联网技术的飞速发展,网络安全成为越来越受关注的话题。PHP作为一种广泛应用于Web开发语言,其安全性问题尤为突出。对于开发者而言,了解并掌握...
PHP代码审计系列(二)
tpaer的博客
12-06 691
系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
ctf 图片 php_PHP代码审计之CTF系列(1)
weixin_33450988的博客
03-09 1024
PHP代码审计之CTF系列(1)采用github yaofeifly师傅的PHP练习。每个内容均采用docker。部署过程:进入对应的docker_env,使用docker-compose builddocker-compose up -d进入对应docker进程,查看地址访问即可。challenge 1访问地址,发现源码1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZg...
PHP渗透测试题目笔记
Zeker62的博客
02-10 5660
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
PHP代码审计实战之盾灵CMS
Mi1k7ea
10-20 1755
先下载一套盾灵投稿系统吧,可以在站长下载中下载。下载好之后放到自己的Web服务器相应的目录中安装配置好即可,然后使用Sublime等工具来进行白盒审计吧。 通常后台是挖掘漏洞的重要地方,这里我们只挖掘后台的一些漏洞,所以就只打开后台目录admin: 一、绕过前端JS过滤的SQL注入漏洞登录后台漏洞: 首先是访问盾灵的主页面,然后直接在URL后添加admin跳转到后台登陆界
PHP代码审计3—系统重装漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
06-26 1131
PHP代码审计之系统重装漏洞入门
PHP代码审计之基础篇
热门推荐
Mi1k7ea
04-18 1万+
最近在学PHP代码审计,那就将学习的笔记都整理一遍吧~ 前期准备: 1、安装相关软件,如Sublime text、 Notepad++、editplus、 Seay源代码审计系统等 2、获得源码,可以到网上下载各种网站源码 3、安装网站 审计方法: 通读全文法:麻烦但全面 敏感函数参数回溯法:高效常用,Seay源代码审计系统 定向功能分析法:主要根据程序的业
盾灵原创文章投稿系统后台绕过漏洞
weixin_30682415的博客
06-13 180
来到登陆地址,login.php,我们看下这个文件的源码。 <?php require '../config.php'; $adminname = $_POST['adminname']; $adminpass = $_POST['adminpass']; $adminpass .= "Axphp.com"; $adminpass = md5($adm...
php序列化和反序列化-ctf
时光凉春衫薄的博客
08-08 1210
<?php error_reporting(0); include "key4.php"; $TEMP = "Whatever is worth doing is worth doing well."; $str = $_GET['str']; if (unserialize($str) === $TEMP) { echo "$key4"; } show_source(__FILE__); 通过上述得知unserialize($str)中反序列化后的值等于Whatever is worth.
'QuerySet' object has no attribute 'set_password'
最新发布
04-04
This error occurs when you try to call a method that is not defined on a QuerySet object. The set_password method is defined on the User object in Django, not on a QuerySet. To fix this error, you need to make sure that you are calling the set_password method on the correct object. For example, if you want to set the password for a user with a specific username, you would first retrieve the user object from the database using a QuerySet, and then call the set_password method on that user object: ``` user = User.objects.get(username='example_user') user.set_password('new_password') user.save() ``` Make sure that you are importing the User model from the correct location, which is typically `from django.contrib.auth.models import User`.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值