PHP代码审计(绕过过滤的空白字符)

最新推荐文章于 2024-10-11 08:58:17 发布
最新推荐文章于 2024-10-11 08:58:17 发布
阅读量4.2k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36609913/article/details/79296052
版权

讨论一道代码审计题
这里写图片描述

这里打开网页并查看源代码并没有发现有用的信息

这里写图片描述

查看他的HTTP头发现hint里有26966dc52e85af40f59b4fe73d8c323a.txt这个文件

打开获得源代码

<?php

$info = ""; 
$req = [];
$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

ini_set("display_error", false); //为一个配置选项设置值
error_reporting(0); //关闭所有PHP错误报告

if(!isset($_GET['number'])){
   header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

   die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) {  //foreach 语法结构提供了遍历数组的简单方式 
    foreach($global_var as $key => $value) { 
        $value = trim($value);  //trim — 去除字符串首尾处的空白字符(或者其他字符)
        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串
    } 
} 


function is_palindrome_number($number) { 
    $number = strval($number); //strval — 获取变量的字符串值
    $i = 0; 
    $j = strlen($number) - 1; //strlen — 获取字符串长度
    while($i < $j) { 
        if($number[$i] !== $number[$j]) { 
            return false; 
        } 
        $i++; 
        $j--; 
    } 
    return true; 
} 


if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串 
{

   $info="sorry, you cann't input a number!";

}
elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值
{

     $info = "number must be equal to it's integer!! ";  

}
else
{

     $value1 = intval($req["number"]);
     $value2 = intval(strrev($req["number"]));  

     if($value1!=$value2){
          $info="no, this is not a palindrome number!";
     }
     else
     {

          if(is_palindrome_number($req["number"])){
              $info = "nice! {$value1} is a palindrome number!"; 
          }
          else
          {
             $info=$flag;
          }
     }

}

echo $info;

经过分析提交的数需要满足三个条件才能拿到flag:

1.is_numeric($_REQUEST['number'])$req['number']!=strval(intval($req['number'])is_numeric函数判断是否为数字 这两句要求提交的数不能是数字包括小数
2.if(intval($req["number"])!=$intval(strrev($req["number"])))这句的要求为该数的反转的整数值应该等于它本身的整数值即是一个回文数
3.is_palindrome_number($req["number"]))这句要求提交的数不是一个回文数

从要求的条件我们可以构造一个绕过第一个条件和第三个条件即可

is_numeric函数在开始判断前,会先跳过所有空白字符可是题目获取$req[‘number’]的时候明明使用trim过滤了空白字符这时候我们可以引入\f(也就是%0c)在数字前面,来绕过最后那个is_palindrome_number函数,而对于前面的数字判断,因为intval和is_numeric都会忽略这个字符,所以不会影响。

所以我们构造payload=URL?%00%0c131即可绕过上面的条件获得flag

EvilGenius-
关注
代码审计】—PHP
haoaaao的博客
08-03 798
代码审计学习-PHP无框架项目SQL注入挖掘
PHP ctf addslashes,[红日安全]代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_33631836的博客
03-17 758
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并...
php内容过滤绕过,PHPB2B注入(绕过过滤)
weixin_33860377的博客
03-24 89
PHPB2B某处注入。绕过过滤。详细说明:官方最新版本.https://github.com/ulinke/phpb2b/archive/master.zip漏洞文件。virtual-office/offer.phpPOST /virtual-office/offer.phpContent-Disposition: form-data; name="data[trade][type_id]Cont...
PHP代码层防护与绕过
10-24 425
0x01 前言   在一些网站通常会在公用文件引入全局防护代码进行SQL注入、XSS跨站脚本等漏洞的防御,在一定程度上对网站安全防护还是比较有效的。   这里讨论一下关键字过滤不完善及常见正则匹配存在的问题,并收集了网络上常见的PHP全局防护代码进行分析。   Bypass思路:只考虑关键字被过滤如何进行Bypass的问题,暂不考虑关键字替换绕过的情况。 0x02 关键字过滤 ...
空格绕过
最新发布
My笔记的博客
10-11 278
这里我们在admin’ 后面加上一个空格发现被过滤了:测一下列数,这里没有正常输出,说明没有5列:我们前面说过,再测回显位的时候要让前面的id等于数据库中不存在的值,我们改成1,回显了2,说明回显列在第二位,后面就是正常操作拿数据:空格绕过里的%0b、%0c、%0d这些都是可以绕过的。
PHP字符编码绕过漏洞总结
kendyhj9999的专栏
02-25 1032
PHP字符编码绕过漏洞总结 2009-5-2 19:24:04 http://www.273tech.com/doc/332680974/view.htm       该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过 addslashes() 转换 后变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0x
绕过PHP代码执行中的过滤限制详解
LYJ20010728的博客
06-02 2520
绕过PHP代码执行中的过滤限制详解代码执行函数字符串拼接绕过字符串转义绕过多次传参绕过内置函数访问绕过异或绕过绕过URL编码取反绕过递增递减运算符绕过上传临时文件 代码执行函数 PHP中具有代码执行功能的函数 eval():最常见的代码执行函数,把字符串 code 作为PHP代码执行 eval ( string $code ) : mixed assert():检查一个断言是否为false assert()会检查指定的assertion并在结果为false时采取适当的行动,在PHP5或P
【Flag】-PHP-正则绕过
soldi_er的博客
09-02 2168
文章目录【RCTF2020】calc通用字符集合正则字符替换[a-z]落脚函数参考 最近RCTF分站赛要开始了,梳理一些知识。 【RCTF2020】calc 主要check源码如下 $str = $_GET['num']; $blacklist = ['[a-z]', '[\x7f-\xff]', '\s',"'", '"', "`", '\[', "\]","\$", '_', "\\\\",'\^', ","]; foreach ($blacklist as $blackitem) {
PHP代码审计(含详细文件目录)
04-05
02 绕过过滤空白字符.php 03 多重加密.php 04 SQL注入_WITH ROLLUP绕过.php 05 ereg正则%00截断.php 06 strcmp比较字符串.php 07 sha()函数比较绕过.php 08 SESSION验证绕过.php 09 密码md5比较绕过.php 10 url...
PHP代码审计.zip
12-23
1. **02 绕过过滤空白字符.php** 这个文件可能涉及到输入过滤和验证。在PHP中,用户输入经常需要清理,以防止恶意数据(如SQL注入或跨站脚本)进入系统。然而,通过添加不可见的空白字符,攻击者可能能够绕过简单...
PHP代码审计归纳总结
qq_45655564的博客
07-06 991
变量覆盖 extract() 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。条件:若有EXTR_SKIP则不行。 <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?> # 结果:
php rce和绕过
m0_73973498的博客
10-08 3100
php?>是正和常情况下的标签,用于识别这是个php文件,但php也允许使用短标签和等价于
php中去空函数trim,PHP中trim()函数简单使用指南
weixin_29061997的博客
03-19 196
string trim ( string $str [, string $charlist ] ) - 去除字符串首尾处的空白字符(或者其他字符)trim()函数当第二个参数为空时,默认去掉空格、制表符、换行符、回车符、垂直制表符等,当加入第二个参数时复制代码 代码如下:1) trim(' \"string\"', '\"sg');   // 最终输出:\"strin2) trim(' \...
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
ctfshow---php特性
fainpo的博客
04-02 1535
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
sqlmap中各个 tamper 的作用
烟敛寒林的博客
10-26 4561
各个 tamper 的作用   apostrophemask.py: return payload.replace(''', "%EF%BC%87") if payload else payload 将单引号 url 编码,用于过滤了单引号的情况。 1' AND '1'='1 to 1%EF%BC%87 AND %EF%BC%871%EF%BC%87=%EF%BC%871 适用...
php绕过
qq_74071644的博客
11-29 1072
PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。当MD5加密后以0E开头的字符他们==判断相等。
PHP函数绕过
慎铭的博客
02-17 569
md5()   md5() 函数计算字符串的 MD5 散列。md5() 函数使用 RSA 数据安全,包括 MD5 报文摘要算法。如需计算文件的 MD5 散列,请使用 md5_file() 函数。 语法 md5(string, raw) - string 不可缺省。规定要计算的字符串 - raw 可缺省。规定十六进制或二进制的输出格式: - TRUE - 原始 16 字符二进制格式 - FALSE - 默认。32 字符十六进制数 - 返回值 如果成功则返回已计算的 MD5 散列,如果失败则返回 FA
php弱类型比较及绕过
weixin_45349299的博客
11-22 3154
字符串和数字比较使用==时,字符串会先转换为数字类型再比较,若字符串以数字开头,则取开头数字作为转换结果,不能转换为数字的字符串(例如"aaa"是不能转换为数字的字符串,而"123"或"123aa"就是可以转换为数字的字符串)或null,则转换为0;会出现上面的结果是因为字符串在和数字比较的时候会将字符串转化为数字,比如a转换失败成False,False又和0弱类型比较是相等的,所以第一个是true。PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。
PHP代码审计全方位实战教程
这可能导致安全检查被绕过,甚至执行未授权的操作。 14. 任意文件读取及删除漏洞:类似于任意文件删除漏洞,任意文件读取漏洞允许攻击者读取服务器上的任意文件。这通常与文件访问控制不当有关。 15. 目录穿越及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值