php代码审计学习总结(1)

最新推荐文章于 2023-01-30 23:29:35 发布
最新推荐文章于 2023-01-30 23:29:35 发布
阅读量926 收藏 2
点赞数
文章标签: php审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40529133/article/details/89791888
版权

最近打ctf比赛,web狗遇到php代码审计被虐惨了,于是在GitHub上找了php代码审计的相关资料加以学习。在这里总结下方便以后参考。
一,ereg()函数strpos() 函数用数组返回NULL绕过

<?php  
$flag = "flag";  
   
if (isset ($_GET['password'])) {  
    if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)  
        echo 'You password must be alphanumeric';  
    else if (strpos ($_GET['password'], '--') !== FALSE)  
        die('Flag: ' . $flag);  
    else  
        echo 'Invalid password';  
}

方法一: ereg()正则函数可以用%00截断 password=1%00–

方法二: 将password构造一个arr[],传入之后,ereg是返回NULL的,=判断NULL和 FALSE,是不相等的,所以可以进入第二个判断,而strpos处理数组,也是返回NULL,注意这里的是!,NULL!==FALSE,条件成立,拿到flag password[]=

二,intval函数四舍五入

<?php
if($_GET[id]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $id = intval($_GET[id]);
  $query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));
  if ($_GET[id]==1024) {
      echo "<p>no! try again</p>";
  }
  else{
    echo($query[content]);
  }
}
?>

构造 id=1024.1212

intval函数四舍五入,取值为1024,但if语句中已成功绕过1024的限制

三,SQL注入_WITH ROLLUP绕过

    <?php
    error_reporting(0);
    if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
        echo '<form action="" method="post">'."<br/>";
        echo '<input name="uname" type="text"/>'."<br/>";
        echo '<input name="pwd" type="text"/>'."<br/>";
        echo '<input type="submit" />'."<br/>";
        echo '</form>'."<br/>";
        echo '<!--source: source.txt-->'."<br/>";
        die;
    }
    function AttackFilter($StrKey,$StrValue,$ArrReq){  
        if (is_array($StrValue)){
    //检测变量是否是数组
            $StrValue=implode($StrValue);
    //返回由数组元素组合成的字符串
        }
        if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
    //匹配成功一次后就会停止匹配
            print "水可载舟,亦可赛艇!";
            exit();
        }
    }
    $filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
    foreach($_POST as $key=>$value){ 
    //遍历数组
        AttackFilter($key,$value,$filter);
    }
    $con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
    if (!$con){
        die('Could not connect: ' . mysql_error());
    }
    $db="XXXXXX";
    mysql_select_db($db, $con);
    //设置活动的 MySQL 数据库
    $sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
    $query = mysql_query($sql); 
    //执行一条 MySQL 查询
    if (mysql_num_rows($query) == 1) { 
    //返回结果集中行的数目
        $key = mysql_fetch_array($query);
    //返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false
        if($key['pwd'] == $_POST['pwd']) {
            print "CTF{XXXXXX}";
        }else{
            print "亦可赛艇!";
        }
    }else{
        print "一颗赛艇!";
    }
    mysql_close($con);
    ?>
    playload: <?php
    error_reporting(0);
    if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
        echo '<form action="" method="post">'."<br/>";
        echo '<input name="uname" type="text"/>'."<br/>";
        echo '<input name="pwd" type="text"/>'."<br/>";
        echo '<input type="submit" />'."<br/>";
        echo '</form>'."<br/>";
        echo '<!--source: source.txt-->'."<br/>";
        die;
    }
    function AttackFilter($StrKey,$StrValue,$ArrReq){  
        if (is_array($StrValue)){
    //检测变量是否是数组
            $StrValue=implode($StrValue);
    //返回由数组元素组合成的字符串
        }
        if (preg_match("/".$ArrReq."/is",$StrValue)==1){   
    //匹配成功一次后就会停止匹配
            print "水可载舟,亦可赛艇!";
            exit();
        }
    }
    $filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
    foreach($_POST as $key=>$value){ 
    //遍历数组
        AttackFilter($key,$value,$filter);
    }
    $con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
    if (!$con){
        die('Could not connect: ' . mysql_error());
    }
    $db="XXXXXX";
    mysql_select_db($db, $con);
    //设置活动的 MySQL 数据库
    $sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
    $query = mysql_query($sql); 
    //执行一条 MySQL 查询
    if (mysql_num_rows($query) == 1) { 
    //返回结果集中行的数目
        $key = mysql_fetch_array($query);
    //返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false
        if($key['pwd'] == $_POST['pwd']) {
            print "CTF{XXXXXX}";
        }else{
            print "亦可赛艇!";
        }
    }else{
        print "一颗赛艇!";
    }
    mysql_close($con);
    ?>

playload:结合limit和offset就可以写出一个payload
即:输入的用户名为:’ or 1=1 group by pwd with rollup limit 1 offset 2 #
这里解释一下此时执行的SQL:
SELECT * FROM interest where uname=’ ’ or 1=1
group by pwd with rollup (在数据库中添加一行使得pwd=NULL)
limit 1 (只查询一行)
offset 2 (从第二行开始查询)
#注释
此时密码只要为空即可查询成功
四,switch没有break 字符与0比较绕过.

<?php
error_reporting(0);
if (isset($_GET['which']))
{
    $which = $_GET['which'];
    switch ($which)
    {
    case 0:
    case 1:
    case 2:
        require_once $which.'.php';
         echo $flag;
        break;
    default:
        echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
        break;
    }
}
?>

playload:让我们包含当前目录中的flag.php,给which为flag,这里会发现在case 0和case 1的时候,没有break,按照常规思维,应该是0比较不成功,进入比较1,然后比较2,再然后进入default,但是事实却不是这样,事实上,在 case 0的时候,字符串和0比较是相等的,进入了case 0的方法体,但是却没有break,这个时候,默认判断已经比较成功了,而如果匹配成功之后,会继续执行后面的语句,这个时候,是不会再继续进行任何判断的。也就是说,我们which传入flag的时候,case 0比较进入了方法体,但是没有break,默认已经匹配成功,往下执行不再判断,进入2的时候,执行了require_once flag.php

PHP中非数字开头字符串和数字 0比较==都返回True

因为通过逻辑运算符让字符串和数字比较时,会自动将字符串转换为数字.而当字符串无法转换为数字时,其结果就为0了,然后再和另一个0比大小,结果自然为ture。注意:如果那个字符串是以数字开头的,如6ldb,它还是可以转为数字6的,然后和0比较就不等了(但是和6比较就相等) if( s t r = = 0 ) 判 断 和 i f ( i n t v a l ( str==0) 判断 和 if( intval( str==0)if(intval(str) == 0 ) 是等价的

可以验证:

<?php $str="s6s"; if($str==0){ echo "返回了true.";} ?>

要字符串与数字判断不转类型方法有:

方法一: $str="字符串";if($str===0){ echo "返回了true.";}

方法二: $str="字符串";if($str=="0"){ echo "返回了true.";} ,

此题构造:which=aa

没名字的家伙
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP代码审计文档.zip
11-02
目录:网盘文件永久链接 第27课:漏洞实战之越权漏洞mp4 第26课:漏润实战之任意文件删除漏洞mp4 第25课:漏洞实战之任意文件写入漏洞mp4 第24课:漏洞实战之CSRF漏洞mp4 ...第1课:环境配置及审计工具介绍mp4
php代码审计总结(上)
今天也要加油鸭
08-02 1212
一、审计前的准备 1、核心配置详解 register_globals 全局变量注册开关 PHP5.4.0以下可用 allow_url_include 是否允许文件包含 php5.2.0及以后默认off magic_quotes_gpc 魔术引号自动过滤,GET/POST/COOKIE的变量符号前加\进行转义 php5.4以下版本可用 magic_quotes_runtime...
PHP代码审计总结
weixin_44174581的博客
09-02 725
开发安全应用的原则 1.深度防范(冗余,谨慎过头了) 2.最小权限(分配尽量少的权限) 3.简单就是美(复杂容易出错,出错导致漏洞) 4.暴露最小化(隐藏关键数据) 等等等等 方法 1.平衡风险与可用性 用户操作的友好性与安全措施比较矛盾,在提高安全性的同时,通常会降低可用性(操作麻烦,步骤繁琐)。 尽量使安全措施对用户透明,或采用用户熟悉的方式。比如在用户访问受控信息前需要输入用户名和密码来确认身份。 2.跟踪数据 (数据从哪来,要到哪去)在代码审计中,主要检查代码中与外部交互的部分。 3.过滤输入 4.
php代码审计知识点,php代码审计知识点总结
weixin_30376865的博客
03-23 1148
**Php可以命令执行的函数**string shell_exec( string command)Shell_exec通过shell环境执行命令,并且将完整的输出以字符串的方式返回。PHP先运行一个shell环境,然后让shell进程运行你的命令,并且把所有输出以字符串形式返回,如果程序执行有错误或者程序没有输出,则返回null。$output = shell_exec('whoami');ec...
php代码审计【17】代码审计总结
司徒荆的博客
07-02 1005
代码审计总结
php代码审计入坑实践.pdf
07-30
仅拿出几个洞作为例子进行入坑的讲解, 主要是使用 rips 进行辅助审计, 本文是针对小白入坑作为抛砖引玉, 理论的还未进行详细总结, 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS, 不适合刚入门的同学先...
PHP代码审计教学视频
01-28
PHP代码审计入门教学视频,对新手代码审计比较友好。对一些常规的漏洞(sqli、XSS、变量覆盖、PHPSTROM使用等等)都有非常详细的介绍
代码审计资料整理——新手学习
10-13
适用于新手学习代码审计
day3_php审计学习day1_
10-01
php审计学习day之php编程入门之入门
PHP代码审计————3、通用代码审计思路
Fly_鹏程万里
04-04 1582
前言本小节我们就来总结一下在PHP代码审计中常用到的代码审计思路敏感函数回溯参数过程         根据敏感函数的来逆向追踪参数的传递过程,是目前使用的最多的一种方式,因为大多数漏洞是由于函数的使用不当造成的。另外非函数使用不当的漏洞,如sql注入,也有一些特征,比如select、insert等,再结合from和where等关键字,我们就可以判读是否是一条SQL语句,通过对字符串的识别分析,就能...
PHP代码审计18—PHP代码审计小结
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-25 2651
阶段性小结
PHP代码审计(全)
sechelper的博客
12-07 3422
PHP代码审计全流程,黑白盒测试,小技巧,实操案例
php代码审计系统,系统安全:php安全代码审计小结
weixin_36033516的博客
03-11 227
欢迎进入网络安全论坛,与300万技术人员互动交流 >>进入 函数: system(),passthru(),popen(),exec() 数据库操作函数: exec,system,popen,passthru,proc_open,shell_exec 执行命令管道符 % | 测试如0 | dir c: || 双竖线的作用,前面语句执行错误则执行后面欢迎进入网络安全论坛,与300万技术人...
PHP代码审计 16 漏洞挖掘的思路
kevinhanser
07-23 561
本文记录 PHP 代码审计学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 漏洞形成的条件 可以控制的变量(一切输入都是有害的) 变量到达有利用价值的函数(危险的函数) 漏洞造成的效果 漏洞的利用效果取决于最终函数的功能 变量进入什么样的函数就导致什么样的效果 危险函数 什么样的函数就会导致什么样的漏洞 文件包含...
php代码审计_PHP代码审计简单思路。。。
weixin_39789792的博客
11-25 146
PHP常用框架Zendframwork、Yii、Laravel 、ThinkPHP。。。这里举例因为thinkphp由国内人开发用户量较多而且历史漏洞也多Thinkphp历史漏洞很多,对于漏洞形成原因可以自己复现。篇幅有限只介绍披露漏洞Update方法 低于3.2.3 有sql注入问题/** * 更新记录 * @access public * @param mix...
php代码审计思路,代码审计思路讨论
weixin_42561249的博客
04-02 519
原标题:代码审计思路讨论前言首先感谢手电筒的建议,建议我从Bluecms来开始学习代码审计。感谢桑桑格,风哥的问题解答。文章主要是写下我自己在代码审计的时候所思所想。当然并不是太过严谨,也有可能存在错误。这里主要是写出了审计SQL、XSS、CSRF、文件包含漏洞的思路。当然,还有比如变量覆盖,代码执行,逻辑漏洞,会话认证等等。以后有时间会整理。这里的思路是我自己的。当然也有大神有更好的想法。今后我...
PHP代码审计之简单思路方法
永远是少年
01-30 1607
今天继续给大家介绍渗透测试相关知识,本文主要内容是PHP代码审计之简单思路方法。 一、PHP代码审计简单思路 (一)从关键字入手 (二)从功能入手 (三)借助其他工具 二、PHP各漏洞搜索关键字 三、框架类PHP代码审计特点和方法
php代码审计简单思路(基于各个漏洞)
糖小喵
04-16 243
xss 关于XSS的代码审计主要就是从接收参数的地方和一些关键词入手。 PHP中常见的接收参数的方式有$_GET、$_POST、$_REQUEST等等,可以搜索所有接收参数的地方。然后对接收到的数据进行跟踪,看看有没有输出到页面中,然后看输出到页面中的数据是否进行了过滤和html编码等处理。 也可以搜索类似echo这样的输出语句,跟踪输出的变量是从哪里来的,我们是否能控制,如果从数据库中取的...
<php和< php_php代码审计学习之函数缺陷
最新发布
06-07
关于PHP代码审计学习中的函数缺陷,一般可以从以下几个方面入手: 1. 函数输入验证不严格:函数输入参数未进行严格的类型、范围等验证,导致攻击者可以通过构造恶意输入来执行攻击代码。 2. 函数输出验证不严格:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值