php代码审计题目总结

最新推荐文章于 2024-05-13 09:45:18 发布
最新推荐文章于 2024-05-13 09:45:18 发布
阅读量1.6k 收藏 4
点赞数 2
分类专栏: PHP Web安全-CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45927819/article/details/109585483
版权

文章目录

[HCTF 2018]WarmUp 1

拿道题发现了一个图片,我们直接bp:
发现了一个source.php应该就是源码
在这里插入图片描述
在这里插入图片描述
发现了一个hint.php,进去后:在这里插入图片描述
先来看源码:

 <?php
    highlight_file(__FILE__);
    class emmm
    {
        public static function checkFile(&$page)
        {
            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
            if (! isset($page) || !is_string($page))//判断$page是否为空以及是否为字符串 {
                echo "you can't see it";
                return false;
            }

            if (in_array($page, $whitelist)) //判断whitelist中是否有page的值,这是in_arry()函数的作用{
                return true;
            }

            $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );//截取变量$page首次出现?之前的值
            if (in_array($_page, $whitelist)) {
                return true;
            }

            $_page = urldecode($page);
            $_page = mb_substr(
                $_page,
                0,
                mb_strpos($_page . '?', '?')
            );
            if (in_array($_page, $whitelist)) {
                return true;
            }
            echo "you can't see it";
            return false;
        }
    }

    if (! empty($_REQUEST['file'])//判断file是否为空
        && is_string($_REQUEST['file'])//判断file是否为字符串
        && emmm::checkFile($_REQUEST['file'])//调用checkFile函数来检查变量file
    ) {
        include $_REQUEST['file'];
        exit;
    } else {
        echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";
    }  
?>

代码审计:

isset() 函数定义和用法: isset — 检测变量是否已设置并且非 NULL

mb_substr()定义和用法: mb_substr() 函数返回字符串的一部分,之前我们学过 substr()
函数,它只针对英文字符,如果要分割的中文文字则需要使用 mb_substr()

mb_strpos (haystack ,needle ): haystack:要被检查的字符串。 needle:要搜索的字符串。 (PHP >= 4.0.6, PHP 5, PHP 7) mb_strpos — 查找字符串在另一个字符串中首次出现的位置。

例如:

<?php > header("Content–type:text/html;chartset=utf-8");//中文查找中,尽量要声明一下页面的编码为UTF-8 > $str = 'Rose.io博客'; echo mb_strpos($str,'io'); ?> 输出结果为:5 
该题中:
     $_page = mb_substr(
                $page,
                0,
                mb_strpos($page . '?', '?')
            );
先来看mb_strpos($page . '?', '?')
输出page变量中`?`所在的位置
那么这一小段代码的意思就是输出page变量中从0开始到第一个?所在位置结束前的值。

in_array(value,array,type):
参数:
value 必需。规定要在数组搜索的值。
array 必需。规定要搜索的数组。
type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。
如果给定的值 value 存在于数组 array 中则返回 true。如果第三个参数设置为 true,函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true。
如果没有在数组中找到参数,函数返回 false。
注释:如果 value 参数是字符串,且 type 参数设置为 true,则搜索区分大小写。

本题:
if (in_array($_page, $whitelist))
{
return true;}

判断 w h i t e l i s t 中 是 否 存 在 whitelist中是否存在 whitelistpage的值

那么开始绕过吧:
只需要让那些if语句返回true
根据提示,flag在ffffllllaaaagggg中,四层目录,%253f是将?经过两次url编码后得到的结果,在服务器接受参数时会进行一次url解码,执行checkFile()函数时再次进行url解码,其实在这里不对?进行编码也是可以的,那么构建payload:

?file=source.php%253f/../../../../ffffllllaaaagggg

flag{a40d629e-0f4c-4388-b0aa-ed082f59e947}

ezBypass

题目链接

 <?php 
error_reporting(1);
highlight_file(__FILE__);
include('flag.php');

if ($_GET["shy1"] != hash("md4", $_GET["shy1"]))
{
    echo "<br>";
    die('Theshy is locked');
}

if (isset($_GET['shy2'])) {
    $message = json_decode($_GET['shy2']);
    $password ="*********";
    if ($message->password == $password) {
            $s = $_SERVER['QUERY_STRING'];
            if( substr_count($s, '_') !== 0 || substr_count($s, '%5f') != 0 ){
                exit('hahahahahaha!');
        }
         if($_GET['s_h_y_3'] !== '857857' && preg_match('/^857857$/', $_GET['s_h_y_3'])){
                echo $flag;
        }
    } 
    else {
        echo "NONONO";
    }
 }
 else{
     echo "GOGOGO";
 }

?>

需要我们去绕过这几个if语句
md4绕过

if ($_GET["shy1"] != hash("md4", $_GET["shy1"]))
{
    echo "<br>";
    die('Theshy is locked');
}

md4可以使用科学计数法绕过。我们需要找一个明文是一个科学计数法0e开头的,其加密后密文仍然为0e开头的。

令shy1=0e251288019,

md4后为:0e874956163641961271069404332409

payload:?shy1=0e251288019

成功绕过!

json_decode编码绕过

if (isset($_GET['shy2'])) {
    $message = json_decode($_GET['shy2']);
    $password ="*********";

我们传入的shy2变量会经过json编码,变量password是一串字符串。

json_encode() 对PHP 变量进行json编码,转换为字符串类型的json对象

json_decode() 对 JSON 格式的字符串进行编码并且把它转换为 PHP 变量
例如:

<?php
$a=array('password'=>'123');
var_dump(json_encode($a));
?>

在这里插入图片描述
“= =”与“= = =”比较操作符问题
php有两种比较方式,一种是“= =”一种是“= = =”这两种都可以比较两个数字的大小,但是有很明显的区别。
“= =”:会把两端变量类型转换成相同的,在进行比较。这个是根据字符类型强制转换来定义的,int类型的字节数大于char类型的字节数,强制转换的过程中不会损失信息
“= = =”:会先判断两端变量类型是否相同,在进行比较。
在两个相等的符号中,一个字符串与一个数字相比较时,字符串会转换成数值。
那么password就会被强制转换成数值0。

payload:shy2={"password":0}

弱类型绕过

 if ($message->password == $password) {
            $s = $_SERVER['QUERY_STRING'];    
            if( substr_count($s, '_') !== 0 || substr_count($s, '%5f') != 0 ){
                exit('hahahahahaha!');
        }
           if($_GET['s_h_y_3'] !== '857857' && preg_match('/^857857$/', $_GET['s_h_y_3'])){
                echo $flag;   
        }

substr_count($s,’_’):输出变量s中出现下划线的次数。
在URL中GET请求当输入.或空格或_都会被忽略,所以s_h_y_3即s h y 3或s.h.y.3,这两个都可行。
^是用来匹配字符串的开始位置
$是用来匹配字符串的结束位置
相当于一个限定条件,也就是以8开始,以7结尾
变量不能等于857857但是正则匹配需要匹配到857857才会输出flag。
url的%0a为换行污染,可以绕过正则:
payload:s.h.y.3=857857%0a

最终的payload为:

?shy1=0e251288019&shy2={"password":0}&s.h.y.3=857857%0a
在这里插入图片描述

Stray.io
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023网络安全岗面试题汇总(附答案)
m0_74131821的博客
03-27 2513
有备无患,超详细网络安全岗面试题汇总,不看看?
关于PHP代码审计的一些题目
Animation77的博客
09-07 1859
题目一: <?php ////phpinfo(); error_reporting(0); show_source(__file__); preg_replace($_GET["a"], $_GET["b"], $_GET["c"]); ?> 解题思路:先看preg_replace函数定义 这里用到了一个小技巧,用到 /e(有些php版本不支持,我这里是可以的), 这...
【CTF练习】BUUCTF WEB
最新发布
2401_84968665的博客
05-13 692
/select被过滤,联合查询,报错注入,布尔盲注,时间盲注就都不可以使用了。//只剩下了堆叠注入(将语句堆叠在一起进行查询)//内联:将反引号内命令的输出作为输入执行。//|sh 就是执行前面的echo脚本。
PHP代码审计总结
Flynn的博客
03-29 506
AUDIT 启 一切的用户输入都是有害的,危险的数据进入了危险的函数便产生了漏洞。从这2句话,不难看出审计的关键在于用户输入和函数因此 大概分出2类审计方法。 跟踪用户的输入数据,检查代码运行的逻辑漏洞。 检索危险的函数,分析其参数是否被用户输入控制,如果可以,就很有可能有漏洞。 网站功能分析 注册功能 我们要根据需求列出服务器端需要接收的数据,假设有用户名、密码、邮箱、手机号等 注销功能 根据需要我们要回收令牌资源,保存用户操作以及状态(操作日志、当前用户等级等)。 发表评论功能 要判断
PHP代码审计
m0_75178803的博客
08-01 390
Cookies是一种文本文件,包含在访问某些网址时下载到浏览器或设备的少量信息,是服务端保存在浏览器端的数据片段。以 key/value的形式进行保存。每次请求的时候,请求头会自动包含本网站此目录下的 cookie 数据。分号是一种分隔符,用于把指令集区分开来。代码审计指的是对源代码进行检查,寻找代码中的bug以及安全缺陷(漏洞)简单的说,cookie 就是服务端留给计算机用户浏览器端的小文件。PHP 没有声明变量的命令,变量在第一次赋值给它时就被创建。// 这是 PHP 单行注释。1. PHP 脚本以。
php代码审计题目,php代码审计需要会php
weixin_39771614的博客
03-16 45
顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。Rips 是使用PHP语言开发的一个审计工具,所以只要有可以运行PHP的环境就可以轻松实现PHP代码审计Seay源代码审计系统 (推荐学习:PHP视频教程)这是一款基于C#语言开...
代码审计题目
m0_64118193的博客
12-12 611
【代码】代码审计题目
php代码审计题目
weixin_30878361的博客
12-02 221
右键查看源码,发现有提示source.txt,打开链接 <?php if ("POST" == $_SERVER['REQUEST_METHOD']) { $password = $_POST['password']; if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) { ...
PHP代码审计基础知识
热门推荐
网络安全
04-07 7万+
本文章主要是PHP代码审计的一些基础知识,包括函数的用法,漏洞点,偏向基础部分,个人能力有限,部分可能会出现错误或者遗漏,读者可自行补充。 代码执行# 代码执行是代码审计当中较为严重的漏洞,主要是一些命令执行函数的不适当使用。那么,常见的能够触发这类漏洞的函数有哪些呢? eval()# 想必大家对eval()函数应该并不陌生,简而言之eval()函数就是将传入的字符串当作 PHP 代码来进行执行。 eval( string $code) : mixed 返回值# eval() 返回 NULL,除非在
代码审计思路之PHP代码审计
kali_Ma的博客
01-13 2299
00×0 前言 最近也是边挖src边审计代码,总结下最近的php代码审计的一些思路,我一般按照顺序往下做,限于能力水平,可能会有不对或者欠缺的地方,希望各位师傅能够指导。 00×1 前期工作,需要的工具(我使用的) PHPStorm|是PHP编程语言开发的集成环境。 Fotify|代码审计静态扫描工具,商业化静态代码扫描工具,误报率相对较低。 seay|源代码审计工具 CodeQl | 高效的QL非商业的开源代码自动化审计工具。 xcheck| Xcheck 是一款静态应用安全测试工具,旨在及时发现业务代码
代码审计 期末考试题卷(一)
06-20
代码审计 期末考试题卷(一)
[GFCTF202021]Baby-Web只有代码审计部分
01-02
在这个特定的题目中,我们看到涉及到了多个PHP函数的使用,这些函数在实际的代码审计过程中是常见的检查点。 1. `strpos` 函数用于查找字符串中特定字符或子串首次出现的位置。例如,`strpos('abcdef', 'c')` 将...
[红日安全]代码审计Day3 - 实例化任意对象漏洞.pdf
09-20
本文主要探讨的是PHP代码审计中的一个重要主题:实例化任意对象漏洞。该漏洞通常发生在开发者允许用户输入控制类名或者构造函数参数的情况下,攻击者可能借此执行恶意操作,如文件包含、XXE攻击甚至命令执行。 首先...
思维导图, 安全领域PHP代码审计;二进制漏洞分析;企业安全防御;渗透测试
06-30
PHP代码审计 powershell语法 python regrex python SQLMAP SQLMAP-2 SSRF vi vim2 W3af web安全 web前端知识框架 Web应用安全 XML安全汇总 XSS导图 安全思维导图 常见威胁 二进制漏洞分析脑图 企业安全防御 渗透测试...
upload-labs19-20以及总结1
08-08
这意味着即使MIME类型设置为允许的类型(如"image/jpeg"),如果文件本身是PHP代码,依然可以被上传。 4. **黑名单过滤的局限性**:黑名单过滤策略往往容易被绕过,因为它依赖于完全匹配特定的扩展名。在这种情况下...
CTFHub信息泄露
qq_45927819的博客
11-08 4259
文章目录phpinfo备份文件下载网站源码bak文件vim缓存.DS_StoreGit泄露Log phpinfo 直接Ctrl+f搜索flag 备份文件下载 网站源码 最常见的我觉得应该就是www.zip了 还真有,下载后发现flag的文本文档 里边没东西 将文件名输入到网址后边就出flag了 bak文件 题目是bak文件,那flag必然在index.php.bak中 直接出flag vim缓存 vim缓存会出现两种文件: 一种临时文件: vim中的swp即swap文件,在编辑文件时产生,它
CTF—命令执行总结
qq_45927819的博客
11-13 3846
文章目录前言空格绕过命令分割符关键词过滤编码绕过 前言 最近遇到了好多命令执行的web题,这就来总结一下这方面的知识!! 空格绕过 常见的绕过符号有: $IFS$9 、${IFS} 、%09(php环境下)、 重定向符<>、> $IFS在linux下表示分隔符,如果不加{}则bash会将IFS解释为一个变量名, 加一个{}就固定了变量名,$IFS$9后面之所以加个$是为了起到截断的作用 ;为什么要用$9呢,因为$9只是当前系统shell进程的第九个参数的持有者,它始终为空字符串。 不仅 $
RSA密码的原理及做题总结
qq_45927819的博客
09-23 3460
RSA算法:是应用最广泛的公钥密码算法 RSA算法步骤: 1.随计选择两个不相等的质数p,q 2.计算它们的乘积N=p*q 3.计算欧拉函数φ(N)=(p-1)(q-1),N的二进制长度作为密钥的长度, 4.随机选择一个加密密钥e,这里1<e<φ(N), gcd(e,φ(N))=1,即e与φ(N)互质。 5.根据以下公式求解得到解密密钥d ed=1 mod φ(N),0≤d≤N 6.发布加密密钥:(e,N) 7.保密解密密钥:(d,N) 这里的n就是N!!!! 这张图是我偷别人的哈哈哈哈
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值