php特性函数(正则\漏洞函数)

最新推荐文章于 2024-05-03 16:12:22 发布
最新推荐文章于 2024-05-03 16:12:22 发布
阅读量411 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/126468899
版权

[MRCTF2020]套娃

打开界面发现源码,

第一关

$query = $_SERVER['QUERY_STRING'];的意思就是返回?后的值
第一个if是检查,有没有下划线  %5f下划线的编码 所以我们要达到的效果就是?传参没有_下划线

 利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

空格、+ - [ .  都可以换成_,我们这里用空格代替

 第二个if是强比较不等于2333,后面正则2开头3结束格式,这样我们就只能在%0a进行换行绕过

 第二关

 看见源码注释掉了,看了大佬的wp,说这是JsFuck加密,我还真没听说过

把他复制到控制器,运行

获得提示,让我们传参Merak,随便传入一个值 比如Merak=sfsf 

第三关

Flag is here~But how to get it? <?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

首先第一个if是判断 是否是本地ip地址

然后file_get_contents($_GET['2333']) === 'todat is a happy day'  data读取

 可是到这里ip已经用插件设置了127.0.0.1,没通过,百度一下

CLIENT-IP: 127.0.0.1  这里x-forwarded-for失效了

成功,最后看change的作用, $v = base64_decode($v)里面是base64解码,所以我们传参需要先编码,也就是flag.php  每个字符加 i*2

所以我们先减在传入

c='flag.php'
for num in range(0,8):
    a = chr(int(ord(c[num])) - num * 2)
    print(str(a),end="")

得到,fj]a&f\b直接base64编码传入就可以了

[Zer0pts2020]Can you guess it?

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>

$_SERVER['PHP_SELF']是当前执行的脚本名,比如url是:http://xxx/index.php     $SERVER['PHP_SELF']的值就是index.php

如果url是:http://xxx/index.php/a.php/a/b/c/d/?a=1   $_SERVER['PHP_SELF']的值就是index.php/a.php/a/b/c/d/  (忽略传参)

hash_equals($secret, $guess)是判断两个参数是否相等

bin2hex  字符串转为十六进制

该函数以字符串形式返回加密安全的随机字节  random_bytes

本来觉得突破口是两个参数相等,然后得到flag,可是是随机生成的,那看看别的点 

源码里有一句:

highlight_file(basename($_SERVER['PHP_SELF']));

如果url是:http://xxx/index.php/a      basename($_SERVER['PHP_SELF'])的值就是a  (只看最后一个/后面的,同样忽略传参)

正则:/config\.php\/*$/i  最后是个*,传一个中文字符(打印不出来),正则就会失效

题目给出了flag在config.php,我们要得到这个php,如果访问index.php/config.php,其实依然是index.php的界面

 这道题给出了basename()的漏洞,只看最后一个/的后面,而且忽略上传参数

比如$path是/var/www/html/index.php,那么basename($path);得到的就是index.php。

<?php
function check($str){
    return preg_match('/config\.php\/*$/i', $str);
}

for($i=0;$i<255;$i++){
    $str="/index.php/config.php/".chr($i);
    if(!check($str)){
        echo $i.":".basename($str);
        echo "<br>";
    }
}

ASCII值范围为0-255,但ASCII码并没有规定编号为128~255的字符,ASCII表范围为0-127,也就是我们传入128以上的数值,即可绕过正则,128 -> 0x80

 这样既可以访问config.php,也可以绕过正则

还有几个中文符号也可以比如:?中文汉字都可以,打印不出来

[GWCTF 2019]枯燥的抽奖

打开界面

一看见想的本来是爆破,然后想了一下,不行呀这样得爆破到猴年马月,也不是有一部分对就是回显别的汉字。看一下源码

看见了个地址, 

 访问得到,源码

jgBHnUZqTT

<?php
#这不是抽奖程序的源代码!不许看!
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);   这是赋予的一个seed种子
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦,再试试吧</p>";
    }
}
show_source("check.php");

    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
表面,这是一个随机0-strlen的随机,可是mt_rand通过一种复杂的运算存在规律

我们可以通过第一个值,也就是给出的jgBHnUZqTT通过一定的运算可以推算出下面的值,拼接形成flag

知识点:PHP mt_rand安全杂谈及应用场景详解 - FreeBuf网络安全行业门户

首先,第一步我们先将给出的第一段字符换成数字

str1="jgBHnUZqTT"
str2= "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
length=str(len(str2)-1)
result=''
for i in range(0,len(str1)):
    for j in range(0,len(str2)):
        if str2[j]==str1[i]:
            result+=str(j)+' '+str(j)+' '+'0'+' '+length+' '
print(result)

 

9 9 0 61 6 6 0 61 37 37 0 61 43 43 0 61 13 13 0 61 56 56 0 61 61 61 0 61 16 16 0 61 55 55 0 61 55 55 0 61  

以上面生成的随机数为例,假设我们知道了第一个生成的随机数,那我们怎么预测种子呢?
那就要用到php_mt_seed这个工具了。

得到的seed为209641505 ,根据seed去得到密文就行了,要用php7.1及以上版本的

<?php
mt_srand(209641505);

$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>

 

然后php这段代码,需要用php7.1+的版本,否则的出来的不太一样,因为seed提示了php版本,输入得到flag

 

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP下ereg实现匹配ip的正则
12-08
 } 这个ereg正则限制了$ip的数据为xxx.xxx.xxx.xxx这样的形式,表面上看上面的代码应该输出”unknown”,而实际却输出了”1.1.1.255haha”,因为ereg函数存在NULL截断漏洞,导致了正则过滤被绕过。4 \2 n+ Y6
php正则表达漏洞,一个PHP正则相关的“经典漏洞
weixin_29504571的博客
04-02 213
小密圈《代码审计》中看到P神发的“经典漏洞”,关于写配置文件这个功能点。问题代码$str = addslashes($_GET['option']);$file = file_get_contents('xxxxx/option.php');$file = preg_replace('|\$option=\'.*\';|',"\$option='$str';",$file);file_put_co...
PHP正则经典漏洞
weixin_30819085的博客
03-01 170
@author: Dlive P牛在小密圈中发的一个有关使用PHP正则配合写配置文件导致Getshell的经典漏洞 漏洞代码是这样的: <?php //ph.php $str = addslashes($_GET['option']); $file = file_get_contents('option.php'); $file = preg_replace('|\$option=\'.*\...
php 防注入 正则,PHP正则表达式漏洞下注
weixin_34917128的博客
03-09 189
没有一个步骤或完全直接的方式来利用你的代码,但这里有一些想法.你在这个例子中传递给copy(),但是你已经提到你已经使用这个方法验证文件ext了一段时间,所以我假设你有其他情况可能已经使用这个过程与其他功能在不同的PHP版本.将其视为测试程序(Exploiting include,require):$name = "test.PHP#.txt";if (preg_match('/\.(xml|cs...
slim框架中防止crsf攻击时,用到的函数hash_equals
weixin_34204057的博客
10-24 117
  1.防止crsf攻击的最多解决方案就是 为每个请求生成一个唯一 token ,验证来源于客户端 HTML 表单产生的 POST等请求 .    2.这个token默认放在session中.   slim框架源码中生成方式 如下: 1 &lt;?php 2 //生成name和token 3 $name = uniqid($this-&gt;prefix); 4 $token = bin2h...
basename函数漏洞之[Zer0pts2020]Can you guess it?
qq_58970968的博客
08-26 356
这里正则的绕过,不能让config.php结尾,在它后面加点东西就可以了,比如/a 等等,但是为了使后面的basename得到的结果为config.php,这后面加的东西不能乱加,那么就加非ASCII码的字符就行啦,给个脚本吧。basename 函数,获取路径中的文件名;比如:test/inde.php/s 就会返回index,php。但是漏洞就是,它会去掉文件名开头的或者结尾的非ASCII值!...
PHP5.0 TIDY_PARSE_FILE缓冲区溢出漏洞的解决方案
12-19
不得不再次吐槽一下exploit-db对exp审核的质量,这个exp仍然不能触发漏洞,修改第一个参数则可以触发,我给出的poc是一个可以触发php漏洞的,问题出现在php_tidy.dll扩展中,对tidy_parse_file的第二个参数,也就是...
PHP代码审计工具V2.0.3源码20121015
02-22
该版本目前支持单个关键字扫描、批量函数扫描、批量正则匹配,其中正则表达式扫描精确度最高,效率最高。 其他功能: 源码浏览:载入程序源码后,可以在最左边的程序文件列表里面点击浏览源码,扫描出包含关键字的...
PHP代码审计工具V2.0.8源码20121108
03-13
该版本目前支持单个关键字扫描、批量函数扫描、批量正则匹配,其中正则表达式扫描精确度最高,效率最高。 V2.0.8版本: 更新信息:在2.0.7版本的基础上修复一个BUG,大大优化扫描速度,增加扫描速度选择,优化代码,...
php脚本资料电子书籍
10-30
BES-CMS Common Style Mistakes, Part 1 Common Style Mistakes, Part 2 Developing Secure Web Applications ...用PHP函数解决SQL injection 在php中使用sockets从新闻组中获取文章 紫桐VBB2.28论坛漏洞利用攻击实例
hash写equals需要注意的地方
Jacky Li的专栏
09-26 571
 碰到这样一个问题,我在用hashmap的时候,map.containsKey(key)我希望调用的是自己的equals方法,但是map就是不肯调用我的equals后来解决了,因为hashmap用的是hash算法,equals比较特别除了写equals,还要写一个public int hashCode() ...{// TODO Auto-generated method stubre
Day25-Java基础之常用类1
m0_46053885的博客
04-27 1116
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
链表刷题集
yajunjiao的专栏
04-30 487
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
d15(136-148)-勇敢开始Java,咖啡拯救人生
m0_73459387的博客
04-28 1077
对象哈希值的特点:同一个对象调用hashCode()返回的哈希值相同;HashMap的键依赖hashCode方法和equals方法保证键的唯一,存储自定义类型的对象时,重写这两个方法。实际上,Set系列集合的底层就是基于Map实现的,只是Set集合中的元素要键数据,不要值数据。当12个位置都占满时就会扩容,大约扩容为原来的二倍,再把原数组数据转移到新数组。使用迭代器遍历集合时,又同时在删除集合中的数据,程序就会出现并发修改异常的错误。基于哈希表实现,每个键值对额外多了一个双链表的机制,记录元素顺序(保证。
Java解决最长公共前缀
无人罪的博客
04-28 387
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 902
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
Spring cloud原理详解
qq_33449977的博客
04-28 475
想象一下,你开了一家餐馆,一开始只卖汉堡,后来生意火了,你又增加了炸鸡、披萨、冰淇淋各种摊位,每个摊位就是一个微服务,它们各自独立工作,但又得相互配合。有时候,某个服务可能太忙了,电话老打不通,这时候Spring Cloud还有个叫Hystrix的断路器,它会说:“嘿,别打了,那边线路忙,我给你个备用方案或者告诉你稍后再试。至于餐馆运营情况,Spring Cloud Sleuth和Zipkin这些工具,就像监控摄像头,记录服务间的每一次交互,方便你查看哪里出了问题,优化服务流程。
Nacos 配置中心实例分析实践
最新发布
m0_73557631的博客
05-03 475
​ 浏览器: http://localhost:5000/nacos/config/ip。先创建e-commerce-nacos-config-client5000 模块。​ 启动e-commerce-nacos-config-client5000。​ 启动Nacos Server。
公考学习平台|基于SprinBoot+vue的公考学习平台(源码+数据库+文档)
weixin_66413741的博客
04-30 1048
本共享汽车管理系统有管理员和用户。管理员功能有个人中心,用户管理,投放地区管理,汽车信息管理,汽车投放管理,汽车入库管理,使用订单管理,汽车归还管理。用户可以在注册登录,可以对汽车进行使用产生订单,还可以归还。因而具有一定的实用性。本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得共享汽车管理系统管理工作系统化、规范化。
dedecms v56 plus/search.php 注入漏洞
09-22
dedecms v56 plus 是一个开源的内容管理系统,其中的 search.php 文件存在注入漏洞。 这个注入漏洞允许攻击者通过构造恶意的请求,在 search.php 页面中执行恶意的 SQL 代码。攻击者可以利用这个漏洞获取敏感的数据库信息或者对数据库进行更改或删除操作。 注入漏洞通常是由于未正确过滤用户输入导致的。在 search.php 文件中,用户的搜索输入没有经过充分的验证和过滤,直接作为 SQL 查询语句的一部分拼接,从而导致注入漏洞的产生。 为了修复这个漏洞,可以采取以下措施: 1. 对用户的输入进行严格的验证和过滤。可以使用输入验证函数或者正则表达式来限制用户输入的内容。 2. 使用预编译语句或者参数化查询。这样可以避免将用户输入直接拼接到 SQL 查询语句中,从而防止注入攻击。 3. 更新 dedecms v56 plus 至最新版本。开发者通常会在新版本中修复已知的安全漏洞,因此及时更新可以有效地解决注入漏洞的问题。 4. 对服务器进行安全配置。限制数据库用户的权限,仅允许其执行必要的操作,可以减轻注入攻击所造成的损害。 总结来说,dedecms v56 plus 中的 search.php 注入漏洞是由于对用户输入未进行充分验证和过滤所导致。修复该漏洞需要对用户输入进行认真验证和过滤,并采取安全措施,如使用预编译语句或者参数化查询来构建 SQL 查询语句,以及及时更新系统版本和服务器安全配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值