攻防世界-warmup_mb_substr()+mb_strpos()绕过

已于 2022-08-01 06:58:09 修改
阅读量3k 收藏 2
点赞数 5
分类专栏: 攻防世界 文章标签: php 字符串
于 2020-05-13 11:03:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36438489/article/details/106090196
版权

出自:HCTF2018
打开源代码,发现存在source.php,于是访问发下如下代码:

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //白名单跟后续函数配合使用
            if (! isset($page) || !is_string($page)) { //确定是否是字符串
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) {//提交的参数中是否在白名单
                return true;
            }

            $_page = mb_substr( //过滤问号
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
            if (in_array($_page, $whitelist)) { //再次验证白名单
                return true;
            }

            $_page = urldecode($page);  //将提交的参数进行url解码
            $_page = mb_substr(  //过滤问号
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) { //再次验证白名单
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])
        && is_string($_REQUEST['file'])
        && emmm::checkFile($_REQUEST['file'])
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

接着发现hint.php,发现如下:
flag not here, and flag in ffffllllaaaagggg
现在补充一下相关函数:

**mb_strpos()**:返回要查找的字符串在别一个字符串中首次出现的位置
// mb_strpos (haystack ,needle )
// haystack:要被检查的字符串。
// needle:要搜索的字符串

**mb_substr()** 函数返回字符串的一部分。
// mb_substr (str ,start,length )
//str 必需。从该 string 中提取子字符串。
//start 必需。规定在字符串的何处开始。
//length 可选。规定要返回的字符串长度。默认是直到字符串的结尾

request()//可以以get或者post提交参数
include //文件包含
$_page . '?'//将$_page后拼接.

public static function checkFile(&$page)
&& emmm::checkFile($_REQUEST['file'])
上面这代码表示 将request的file值 传入$page,其实就是将file参数传入到page中




&引用传递变量。这是通过在函数内建立一个本地变量并且该变量在呼叫范围内引用了同一个内容来实现的。例如: 
		
	
<?php
function foo (&$var)
{
    $var++;
}
 
$a=5;
foo ($a);
?>

将使 $a 变成 6。这是因为在 foo 函数中变量 $var 指向了和 $a 指向的同一个内容。

审计代码可知,这两个函数是过滤?的
例如
mb_strpos()

$page=abc 
echo mb_strpos($_page . '?', '?')//输出3
则 abc拼接? abc?
‘?’在abc的3位置,返回值为3

进入mb_substr() 中$page=abc
从0开始,截取三位,则
$page=abc

相对的,如果传入abc?则,经过mb_strpos()仍然返回三,进而进入到
mb_strpos(),截取为abc

代码审计看注释~~~~
审计完之后,发现最后就是绕过checkFile(),利用文件包含执行 ffffllllaaaagggg.php

而绕过则必须checkFile()都返回true,才可执行checkFile(),进而执行文件包含
第一个if:验证是否是字符串,
第二个if,验证是否在白名单之中,
第三个if:结合上面函数看,先将?提取,在进入白名单绕过,这里要说一下:
有两个payload:
payload1:file=source.php%253f…/…/…/…/…/ffffllllaaaagggg
payload2:file=source.php?../…/…/…/…/ffffllllaaaagggg
第一个payload显然可以绕过,第二个payload虽然有?但截取之后仍然存在source.php,都可以绕过第三if校验
第四个if,也是结合前面的观看,先将url解码,在放在白名单里面校验,所以第一个payload,经过两次编码,第一次是传参的时候会将%25解码为%,接着在urldecode($page)解码之后会变成 %3f即’?'号,截取?之前的存在source.php,绕过,而payload2中‘?’解码之后仍然是问号,所以截取?之前的仍然可以绕过
这里要注意的是第四个if截取的是

**$_page,不是和第一个函数mb_strpos()中的
$page**

我认为urldecode()函数中解码的是$page,如果是
$_page,则payload2则不能绕过,因为经过第一次截取之后,如果第一次存在?,则?之后的值都被舍弃,不能执行后面的ffffllllaaaagggg

最后需要上面都返回true,则才可以执行emmm::checkFile($_REQUEST[‘file’]),进行文件包含
否则,将返回false,不 执行下面的文件包含

最后执行文件包含的时候:
file=source.php%253f…/ffffllllaaaagggg失败,由于不能souce.php是否与ffffllllaaaagggg存在同一目录下,所以需要…/寻找路径
最后发现:/…/…/…/…/…/存在
参考文章:
https://www.jianshu.com/p/36eaa95068ca

Kvein Fisher
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
BUUCTF学习(三): PHP 代码审计
初尘屿风的博客
10-16 112
PHP 会根据变量的值,自动把变量转换为正确的数据类型
自己写的php中文截取函数mb_strlen和mb_substr
10-24
主要介绍了自己写的php中文截取函数mb_strlen和mb_substr,在服务器没mbstring库时可以使用本文函数代替,需要的朋友可以参考下
详解PHPmb_strpos的使用
10-18
主要介绍了详解PHPmb_strpos的使用,通过使用语法以及实例给大家详细分析了用法,需要的朋友参考学习下。
BUUCTF web入门题目每日两道(一)
horiozn1709的博客
02-03 1205
[极客大挑战 2019]EasySQL 1 该题目需要同时输入用户名和密码,在用户名处输入万能密码‘or 1=1 # ,密码处输入任意字符即可得到flag [HCTF 2018]WarmUp 1 php 代码审计问题 首先看页面源码 注意到在body中注释掉了 source.php ,所以我们直接访问source.php 得到源码: <?php highlight_file(__FILE__); classemmm { pu...
【CTF练习】BUUCTF WEB
最新发布
2401_84968665的博客
05-13 690
/select被过滤,联合查询,报错注入,布尔盲注,时间盲注就都不可以使用了。//只剩下了堆叠注入(将语句堆叠在一起进行查询)//内联:将反引号内命令的输出作为输入执行。//|sh 就是执行前面的echo脚本。
[HCTF 2018]WarmUp1解题思路
旺仔Sec&blog
11-04 593
[HCTF 2018]WarmUp1目录穿越,代码审计解题思路
PHP CTF常见考题的绕过技巧
热门推荐
m0_48108919的博客
04-07 1万+
1.===绕过 PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。 只要两边字符串类型不同会返回false
PHP代码层防护与绕过
10-24 395
0x01 前言   在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。   这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。   Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。 0x02 关键字过滤 ...
php截取字符串函数substr,iconv_substr,mb_substr示例以及优劣分析
10-25
php进行中文字符串的截取时,会经常用到二个函数iconv_substrmb_substr,对这二个函数应该如何选择呢?参考下本文介绍的例子就明白了。
PHP截取汉字乱码问题解决方法mb_substr函数的应用
10-30
为了解决这个问题,我们可以使用`mb_substr`函数,它是专为处理多字节字符编码而设计的。 `mb_substr`函数是PHP的Multibyte String扩展的一部分,用于在多字节字符集(如UTF-8)中安全地截取字符串。这个函数的主要...
浅析PHP substr,mb_substr以及mb_strcut的区别和用法
12-18
这时,我们需要使用`mb_substr()`和`mb_strcut()`这两个函数,它们是针对多字节字符设计的。 `mb_substr()`函数是多字节安全的,它会根据字符数量而不是字节来截取字符串。这意味着它能够正确地处理Unicode字符,如...
PHP绕过strpos()
东隅的博客
01-31 2566
可以结合ctfshow web94 strpos(string,find,start)有三个参数,string是被检查的字符串,find是要被搜索的字符串,start是开始检索的位置,从0开始。 该函数返回查找到这个find字符串的位置,那么如果是0位置,就值得注意了 比如: if(strpos('0104','0')){ echo 'yes'; }else{ echo 'no';} 那0101里面肯定存在0对吗,但是因为返回的位置是0,那么在if判断中相当于不存在,那返回的结果反
关于PHP函数preg_match绕过、move_uploaded_file绕过方式以及include包含例题
Mark的博客
12-02 3300
preg_match函数定义与用法: 企业级理解: preg_match —— 执行匹配正则表达式 语法 int preg_match ( string $pattern , string KaTeX parse error: Expected 'EOF', got '&' at position 18: …bject [, array &̲matches[, int $flags = 0 [, int $offset = 0 ]]] ) $pattern: 要搜索的模式,字符串形式。
CTF php代码审计 strpos()函数漏洞 XXE漏洞xinclude()
baynk的博客
03-21 3167
这个题之间弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!! <?php highlight_file(__FILE__); class Login { public function __construct($user, $pass) { $this->loginViaXml($user, $pass); } ...
php 正则 回溯,PHP正则匹配绕过
weixin_33185844的博客
03-10 658
之前没有从机制上去了解过PHP正则匹配绕过具体是怎么一回事,于是主动去网上找了一些资料来加深理解NFA与正则表达式常见的正则引擎,被细分为DFA(确定性有限状态自动机)与NFA(非确定性有限状态自动机)。由于NFA的执行过程存在回溯,所以其性能会劣于DFA,但它支持更多功能。大多数程序语言都使用了NFA作为正则引擎,其中也包括PHP使用的PCRE库。所以这里详细介绍一下NFA(Nondetermi...
PHP函数绕过
慎铭的博客
02-17 529
md5()   md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。如需计算文件的 MD5 散列,请使用 md5_file() 函数。 语法 md5(string, raw) - string 不可缺省。规定要计算的字符串 - raw 可缺省。规定十六进制或二进制的输出格式: - TRUE - 原始 16 字符二进制格式 - FALSE - 默认。32 字符十六进制数 - 返回值 如果成功则返回已计算的 MD5 散列,如果失败则返回 FA
几种通用防注入程序绕过方法
收集盒 Book box
10-06 1096
0x00 前言 目前主流的CMS系统当中都会内置一些防注入的程序,例如Discuz、dedeCMS等,本篇主要介绍绕过方法。 0x01 Discuz x2.0防注入 防注入原理 这里以Discuz最近爆出的一个插件的注入漏洞为例,来详细说明绕过方法。 漏洞本身很简单,存在于/source/plugin/v63shop/config.inc.php中的第29行getGoods函数中
BUU刷题记录——1
weixin_43610673的博客
06-03 737
[HCTF 2018]WarmUp hint.php中给了flag的位置: flag not here, and flag in ffffllllaaaagggg checkFile()会截取到第一个问号: $_page = mb_substr( $_page, 0, mb_strpos($_page . '?', '?') ); source.php?/会被当作目录,之后回溯目录就好了
ctfhub warmup
weixin_63810302的博客
05-06 134
ctfhub warmup
php 开启mb_substr,php mb_substr 函数
06-06
好的,你的问题是关于 PHP 中开启 mb_substr 函数的使用方法,以及使用 mb_substr 函数的方法是吗? 首先,mb_substrPHP 中用于截取多字节字符串的函数,它可以处理中文等多字节字符,而 substr 函数则只能处理单字节字符。在使用 mb_substr 函数之前,需要确保 PHP 中已经开启了 mbstring 扩展。 要开启 mbstring 扩展,可以按照以下步骤进行: 1. 打开 php.ini 配置文件。 2. 找到 ;extension=mbstring.so 或者 ;extension=php_mbstring.dll 这一行。 3. 去掉前面的分号,将其改为 extension=mbstring.so 或者 extension=php_mbstring.dll。 4. 保存 php.ini 配置文件,重启 Apache 或者 Nginx 等 Web 服务器。 当 mbstring 扩展开启后,就可以使用 mb_substr 函数了。mb_substr 函数的使用方法与 substr 函数类似,只需要将原来的 substr 替换为 mb_substr 即可,例如: ``` $str = "Hello World! 你好,世界!"; echo mb_substr($str, 0, 5); // 输出 Hello ``` 这里的第一个参数是要截取的字符串,第二个参数是起始位置,第三个参数是截取的长度。需要注意的是,截取的长度是以字符为单位而不是字节数为单位的。 希望这个回答能够帮到你!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值