PHP代码审计总结(2)

最新推荐文章于 2022-08-03 06:20:37 发布
最新推荐文章于 2022-08-03 06:20:37 发布
阅读量641 收藏
点赞数
文章标签: php代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40529133/article/details/89855742
版权

1, strpos数组绕过NULL与ereg正则%00截断

<?php
    $flag = "flag";
        if (isset ($_GET['nctf'])) {
            if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)
                echo '必须输入数字才行';
            else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)   //strpos 查找函数第一次出现的位置
    
                die('Flag: '.$flag);
            else
                echo '骚年,继续努力吧啊~';
        }
 ?>

方法一: 既要是纯数字,又要有’#biubiubiu’,strpos()找的是字符串,那么传一个数组给它,strpos()出错返回null,null!==false,所以符合要求. 所以输入nctf[]= 那为什么ereg()也能符合呢?因为ereg()在出错时返回的也是null,null!==false,所以符合要求.

方法二: 字符串截断,利用ereg()的NULL截断漏洞,绕过正则过滤 nctf=1%00#biubiubiu 错误 需将#编码 nctf=1%00%23biubiubiu 正确

2,switch没有break 字符与0比较绕过

<?php
error_reporting(0);
if (isset($_GET['which']))
{
    $which = $_GET['which'];
    switch ($which)
    {
    case 0:
    case 1:
    case 2:
        require_once $which.'.php';
         echo $flag;
        break;
    default:
        echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
        break;
    }
}
?>

让我们包含当前目录中的flag.php,给which为flag,这里会发现在case 0和case 1的时候,没有break,按照常规思维,应该是0比较不成功,进入比较1,然后比较2,再然后进入default,但是事实却不是这样,事实上,在 case 0的时候,字符串和0比较是相等的,进入了case 0的方法体,但是却没有break,这个时候,默认判断已经比较成功了,而如果匹配成功之后,会继续执行后面的语句,这个时候,是不会再继续进行任何判断的。也就是说,我们which传入flag的时候,case 0比较进入了方法体,但是没有break,默认已经匹配成功,往下执行不再判断,进入2的时候,执行了require_once flag.php

PHP中非数字开头字符串和数字 0比较==都返回True

3,十六进制与数字比较

<?php
error_reporting(0);
function noother_says_correct($temp)
{
    $flag = 'flag{test}';
    $one = ord('1');  //ord — 返回字符的 ASCII 码值
    $nine = ord('9'); //ord — 返回字符的 ASCII 码值
    $number = '3735929054';
    // Check all the input characters!
    for ($i = 0; $i < strlen($number); $i++)
    { 
        // Disallow all the digits!
        $digit = ord($temp{$i});
        if ( ($digit >= $one) && ($digit <= $nine) )
        {
            // Aha, digit not allowed!
            return "flase";
        }
    }
    if($number == $temp)
        return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);

这里,它不让输入1到9的数字,但是后面却让比较一串数字,平常的方法肯定就不能行了,大家都知道计算机中的进制转换,当然也是可以拿来比较的,0x开头则表示16进制,将这串数字转换成16进制之后发现,是deadc0de,在开头加上0x,代表这个是16进制的数字,然后再和十进制的 3735929054比较,答案当然是相同的,返回true拿到flag

echo dechex ( 3735929054 ); // 将3735929054转为16进制
结果为:deadc0de

构造:password=0xdeadc0de

4,X-Forwarded-For绕过指定IP地址

<?php
function GetIP(){
if(!empty($_SERVER["HTTP_CLIENT_IP"]))
    $cip = $_SERVER["HTTP_CLIENT_IP"];
else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))
    $cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else if(!empty($_SERVER["REMOTE_ADDR"]))
    $cip = $_SERVER["REMOTE_ADDR"];
else
    $cip = "0.0.0.0";
return $cip;
}
$GetIPs = GetIP();
if ($GetIPs=="1.1.1.1"){
echo "Great! Key is *********";
}
else{
echo "错误!你的IP不在访问列表之内!";
}
?>

playload;HTTP头添加X-Forwarded-For:1.1.1.1

5,

urldecode二次编码绕过

<?php
if(eregi("hackerDJ",$_GET[id])) {
  echo("<p>not allowed!</p>");
  exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
  echo "<p>Access granted!</p>";
  echo "<p>flag: *****************} </p>";
}
?>

输入进去时 url进行了一次urldecode 故进行urldecode 二次编码

palyload:id=%2568ackerDJ

没名字的家伙
关注
PHP代码审计总结
weixin_44174581的博客
09-02 790
开发安全应用的原则 1.深度防范(冗余,谨慎过头了) 2.最小权限(分配尽量少的权限) 3.简单就是美(复杂容易出错,出错导致漏洞) 4.暴露最小化(隐藏关键数据) 等等等等 方法 1.平衡风险与可用性 用户操作的友好性与安全措施比较矛盾,在提高安全性的同时,通常会降低可用性(操作麻烦,步骤繁琐)。 尽量使安全措施对用户透明,或采用用户熟悉的方式。比如在用户访问受控信息前需要输入用户名和密码来确认身份。 2.跟踪数据 (数据从哪来,要到哪去)在代码审计中,主要检查代码中与外部交互的部分。 3.过滤输入 4.
代码审计】--- php代码审计方法
qq_43168364的博客
02-11 4715
代码审计需要掌握的点 PHP编程语言的特性和基础 Web前端编程基础 漏洞形成原理 代码审计思路 不同系统、中间件之间的特性差异 代码审计思路 方法一 ---- 检查敏感函数的参数,然后回溯变量,判断变量是否可控,并且有没有经过严格的过滤,这是一个逆向追踪的过程 方法二 ---- 找出哪些文件在接收外部传入的参数,然后跟踪变量的传递过程,观察是否有变量传入到高危函数里面,或者传递的过程是否有逻辑漏洞,这是一种正向追踪的方式 方法三 ---- 直接挖掘功能点漏洞,根据自身经验判断该类应用通常在哪些功能中
PHP 代码注入知识点总结
千寻的博客
02-10 2229
文章目录第一章 概述第一节 原理以及成因第二节 形成原因第三节 漏洞危害第二章 相关函数和语句第一节 eval()第二节 assert()第三节 preg_replace()第四节 call_user_func()第六节 动态函数`$a($b)`第三章 漏洞利用第一节 直接获取Shell第二节 获取当前文件的绝对路径第三节 读文件第四节 写文件第四章 防御方法 第一章 概述 第一节 原理以及...
php if(!isset($page),有没有办法在isset($ _ POST [])条件中访问isset($ _ GET [])条件中创建的变量?...
weixin_39775976的博客
03-11 228
好的,所以只是澄清那些发现我的问题不清楚的人 . 我试图对我的脚本进行两次不同的调用 .第一个是GET请求 .第二个是POST请求 .我正在尝试执行上述操作,同时保留在POST请求中使用它时位于GET请求中的$ post_id的值 .正如 dan08 & Crayon Violent 所建议的那样,当尝试将变量的值从一个HTTP请求方法传递给另一个时,无法保留变量的值 . 正如 Crayon Vi...
PHP漏洞全解
04-15 1006
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injecti...
Bugku——strpos数组绕过
热门推荐
王嘟嘟的博客
11-01 1万+
0x00 前言 不想学习,简单的做一做CTF的题目。 看到了CTF里的排名,然后好像又有了动力。 题目 0x01 start 题目说的很清楚。数组绕过。那我们来看一下源码,然后来进行测试。 &lt;?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) ech...
PHP代码审计之CSRF-CSRF漏洞源码审计总结
最新发布
04-09
PHP代码审计之CSRF/CSRF漏洞源码审计总结 DedeCMS-V5.7-U TF8-SP2.tar.gz DedeCMS-V5.7-UTF8-SP2.tar .gz DedeCMS-V5.7-UTF8-SP2.tar.gz PHP代码审 计之CSRF.part2.rar (15.67 MB)
PHP代码审计归纳总结
qq_45655564的博客
07-06 962
变量覆盖 extract() 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。条件:若有EXTR_SKIP则不行。 <?php $a = "Original"; $my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse"); extract($my_array); echo "\$a = $a; \$b = $b; \$c = $c"; ?> # 结果:
PHP代码审计入门指南1
08-04
PHP代码审计入门指南1】是一本针对...总结来说,PHP代码审计是Web安全领域中的重要技能,通过本指南的学习,读者不仅可以掌握PHP代码审计的基本技巧,还能了解各类漏洞的产生原理,为今后的Web安全工作打下坚实基础。
代码审计】—PHP
haoaaao的博客
08-03 745
代码审计学习-PHP无框架项目SQL注入挖掘
ctf == php,CTF-Web15(涉及PHP代码审计-简单)
weixin_39902085的博客
03-23 266
CTF-Web15(涉及PHP代码审计-简单)CTF-Web15(涉及PHP代码审计-简单)15.Once More随便输入一个密码,check,显示:Invalid password点击“View the source code”查看到如下源码if (isset ($_GET['password'])) {if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']...
总结下CTF中PHP中遇见的考点
weixin_30390075的博客
05-10 371
最近碰到的一些php的,比如说弱类型和变量覆盖和一些函数造成的问题,还有序列化反序列化和php伪协议, https://www.jianshu.com/p/fe158ab25120南京邮电CTF wp设计到挺多 比如弱类型有==的 和md5,array_search . 还有strcmp漏洞(数组绕过),ereg函数%00截断漏洞,变量覆盖的话有$$,extract()函数和parse_st...
www.d58.php,php代码审计前奏之ctfshow之命令执行
weixin_34652580的博客
03-11 2089
想搞好代码审计,必须要搞懂其中一些危险函数危险应用,以及过滤不足,故以 CTF 来练习。web29~过滤关键字命令执行,需要严格的过滤源码:data://text/plain, 这样就相当于执行了php语句 .php 因为前面的php语句已经闭合了,所以后面的.php会被当成html页面直接显示在页面上,起不到什么 作用web40~无参数读文件...
CTFshow_命令执行
qq_45927819的博客
11-20 1270
文章目录web29 web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag get方式传参: ?c=system(ls); 发现flag.php 直接查看就行: ?c=system('cat ')
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6338
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
bugku ctf strpos数组绕过
qq_42777804的博客
08-10 2692
<?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE) die('Flag: '.$flag); else...
7.19 两道ctf练习题与html的初步了解
duan哥哥的博客
07-26 538
1.矛盾
南京邮电大学网络攻防训练平台writeup
weixin_34406086的博客
01-06 3995
本文带目录版本:https://findneo.github.io/170924NuptCTFWP/ 南邮CTF平台网址: http://ctf.nuptsast.com/challenges http://ctf.nuptzj.cn/challenges WEB 签到题 nctf{flag_admiaanaaaaaaaaaaa} ctrl+u或右键查看源代码即可。在CTF比赛中,代码...
封神台—高校靶场ctf—第一期Web web_008
m0_52738557的博客
06-27 739
难度:⭐⭐ 首先咱们观察提示获取源码,这时第一想到的就是查看网页源码咱们先点开传送门来看一下题 一个可以提交数据到服务器的动态点,看来我们想要得到flag或进一步的提示得通过这个输入口来进行突破, 提示中提到了网页源码我们来看一下是否跟页面源码有关 很明显页面源码没有任何信息,我们可以尝试查看该页面在制作完成并发布后有没有清理备份文件.bak 我们在网页的网址url上的index.php后面加上.bak形成index.php.bak 这样我们的浏览器就会去尝试访问该文件,点浏览器无法打开这一文件,就会进行
PHP代码审计:代码执行漏洞深度剖析
总结来说,PHP代码审计对于确保应用程序的安全至关重要。了解和掌握代码执行的机制以及如何防范是每个PHP开发人员和安全专家的基本技能。通过深入理解这些概念,可以有效地减少潜在的安全风险,提高应用程序的健壮性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值