php语句分段,PHP代码审计分段讲解(9)

最新推荐文章于 2022-11-28 21:29:51 发布
最新推荐文章于 2022-11-28 21:29:51 发布
阅读量171 收藏
点赞数
文章标签: php语句分段

22 弱类型整数大小比较绕过

error_reporting(0);

$flag = "flag{test}";

$temp = $_GET[‘password‘];

is_numeric($temp)?die("no numeric"):NULL;

if($temp>1336){

echo $flag;

}

?>

对于传入的password,赋值给temp,使用 is_numeric 函数进行判断,如果是数字的话退出,否则进行后面的判断,因为PHP的弱类型,在数字后面添加空格或者字符进行绕过

$a = ‘1‘;

$b = ‘1a‘;

$c = ‘1 ‘;

var_dump(is_numeric($a));//true

var_dump(is_numeric($b));//false

var_dump(is_numeric($c));//false

?>

在最后的 if 判断中

if($temp>1336){

echo $flag;

}

因为如 1337a这种类型的字符串,会自动先进行类型转换后再比较,即转换为1337

所以我们可以使用payload:

?password=1999a

绕过限制,获取flag

23 md5函数验证绕过

error_reporting(0);

$flag = ‘flag{test}‘;

$temp = $_GET[‘password‘];

if(md5($temp)==0){

echo $flag;

}

?>

这里需要令password进行md5加密后的值为0即可,又因为是弱类型比较,考虑使用md5后以0e开头的值,在网上找了一些:

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

s1502113478a

0e861580163291561247404381396064

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s155964671a

0e342768416822451524974117254469

s1184209335a

0e072485820392773389523109082030

s1665632922a

0e731198061491163073197128363787

s1502113478a

0e861580163291561247404381396064

s1836677006a

0e481036490867661113260034900752

s1091221200a

0e940624217856561557816327384675

s155964671a

0e342768416822451524974117254469

s1502113478a

0e861580163291561247404381396064

s155964671a

0e342768416822451524974117254469

s1665632922a

0e731198061491163073197128363787

s155964671a

0e342768416822451524974117254469

s1091221200a

0e940624217856561557816327384675

s1836677006a

0e481036490867661113260034900752

s1885207154a

0e509367213418206700842008763514

s532378020a

0e220463095855511507588041205815

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s214587387a

0e848240448830537924465865611904

s1502113478a

0e861580163291561247404381396064

s1091221200a

0e940624217856561557816327384675

s1665632922a

0e731198061491163073197128363787

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s1665632922a

0e731198061491163073197128363787

s878926199a

0e545993274517709034328855841020

然后选一个就行,这里作者使用s878926199a,获取flag

另一种方式是 password 不赋值,就为NULL,NULL==0

所以payload可为:

也可为:

24 md5函数true绕过注入

error_reporting(0);

$link = mysql_connect(‘localhost‘, ‘root‘, ‘root‘);

if (!$link) {

die(‘Could not connect to MySQL: ‘ . mysql_error());

}

// 选择数据库

$db = mysql_select_db("security", $link);

if(!$db)

{

echo ‘select db error‘;

exit();

}

// 执行sql

$password = $_GET[‘password‘];

$sql = "SELECT * FROM users WHERE password = ‘".md5($password,true)."‘";

var_dump($sql);

$result=mysql_query($sql) or die(‘

‘ . mysql_error() . ‘
‘ );

$row1 = mysql_fetch_row($result);

var_dump($row1);

mysql_close($link);

?>

关键代码在:

$password = $_GET[‘password‘];

$sql = "SELECT * FROM users WHERE password = ‘".md5($password,true)."‘";

也就是说我们需要从数据库中查询成功,这一段sql语句

很容易能够想到,构造这种语句

$sql = "SELECT * FROM users WHERE password = ‘‘ or ‘1‘=‘1‘";

当然这只是一个例子,不要拘泥于这句话,难点在于如何找到md5后再转换成字符串刚好为 ‘ or ‘xx

这种形式的字符串

前辈们已经找好了,不过肯定还存在其他的语句

ffifdyop

md5后为为:

276f722736c95d99e921722cf9ed621c

hex转换成字符串为

‘or‘6

符合我们的要求

25 switch没有break 字符与0比较绕过

error_reporting(0);

if (isset($_GET[‘which‘]))

{

$which = $_GET[‘which‘];

switch ($which)

{

case 0:

case 1:

case 2:

require_once $which.‘.php‘;

echo $flag;

break;

default:

echo GWF_HTML::error(‘PHP-0817‘, ‘Hacker NoNoNo!‘, false);

break;

}

}

?>

这道题目使用了switch的特性和PHP弱类型比较的特性

首先是switch比较,因为case 0和case 1都没有break,所以当匹配到0或者1 的时候,匹配成功后,不会退出switch,而且还会继续向下进行,直到遇到break为止,在switch中只进行一次匹配,也就是说,如果匹配到了0,那么可以直接进入case 1和case 2,而不需要进行1 和 2 的比较。

这里的题目是需要我们包含flag.php文件,接下来就是如何令传入的which匹配到 0 或者 1 ,同时能包含flag.php

PHP中非数字开头字符串和数字 0比较==都返回True

因为通过逻辑运算符让字符串与数字进行比较时,会自动将字符串转换为数字,当转换不了的时候,其结果就为0,什么时候能转换成功?如12abc这种,就会被转换成12,而abc12,就会转换失败,个人认为是开头匹配的原因吧

所以我们只需要直接传入flag即可令其在switch中匹配到 case 0,因为没有break的原因,所以能进入case 2,输出flag

最后的payload为:

参考链接:

原文:https://www.cnblogs.com/Cl0ud/p/13292677.html

地精工效学者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP 日期分段
a13838254208的博客
05-19 144
/** * 获取日期之间的差数 */ function prDates($start,$end,$type='+1 day'){ // 两个日期之间的所有日期 $dt_start = strtotime($start); $dt_end = strtotime($end); $arr = []; while ($dt_sta...
php代码审计分段学习(php_bug)[1]
weixin_34137799的博客
03-10 184
参考:https://github.com/bowu678/php_bugs 1.extract变量覆盖 看extract变量覆盖这个的时候,代码里面出现了trim这个函数,就查了一下用法,说是去掉字符串开头和结尾的换行符或者是空格,还可以去掉不想出现的字符串。要说起来这个函数还是挺好理解的。就比如说最后一个...
php编写分段式函数,分段计算PHP脚本的执行时间_PHP教程
weixin_39804523的博客
04-04 338
很多时候我们需要计算PHP脚本的执行时间,来获知脚本的效率等问题。比如有一个一大段的PHP脚本,我们就需要一个分段获取脚本执行时间的方法。先介绍要用到的函数:// 计时函数function runtime($mode = 0) {static $t;if(!$mode) {$t = microtime();return;}$t1 = microtime();list($m0,$s0) = spli...
PHP 处理字符串的几段代码
张庆(网眼)
06-13 1372
  //把任意空格换成一个  $str1 = A    B         C   ;  echoecho preg_replace ("//s+/", , $str1);  echo ;  //把任意连续字符 M 换成一个 M  $str1 = AMMMBMMMMCMM   ;  echo preg_replace ("/M+/", M
php txt分段,用PHP实现分段下载
weixin_33350741的博客
03-10 156
如果只是普通的文件下载,完全没有必要用到php,用个就可以,但是有的时候为让文件保密,只能给一部分人下载,显然不能够把链节告诉别人,如果是这样哪就起不到保密的效果。下面这个函数就是一个用php写的文件下载的函数,它是把文件一段一段地读出来,再传送给客户端.以下为引用的内容:function download($file_dir,$file_name)//参数说明://file_dir:文件所在目录...
PHP代码审计分段讲解.zip
08-04
"PHP代码审计分段讲解.zip"这个压缩包文件显然是为了帮助开发者理解和识别PHP代码中的常见漏洞,并提供了详细的解释。下面我们将深入探讨PHP编程中可能遇到的一些关键知识点。 1. SQL注入:SQL注入是PHP应用程序中...
PHP代码审计入门笔记.rar
04-03
代码审计是确保软件质量和安全性的关键步骤,对于PHP开发者来说,掌握PHP代码审计技巧至关重要。这份“PHP代码审计入门笔记”正是为了帮助初学者进入这个领域而准备的。 PHP代码审计涉及对已编写或第三方提供的PHP...
php实现mysql数据库分表分段备份
10-24
3. **PHP代码实现**: - 代码首先连接到MySQL服务器,选择要备份的数据库,并获取所有表的列表。 - 使用`set_time_limit(0)`取消脚本运行时间限制,防止因为大量数据导致超时。 - `header('content-type:text/...
PHP语言教程:PHP循环语句之while
最新发布
02-29
PHP语言的循环语句while和do while 做了讲解和实例
ctfshow(菜狗杯)
qq_62046696的博客
11-28 5714
这样的话cookie传入 =a ,然后破石头 a=b ,get b=c,request可以接收post和get请求,最后c因为用数组传参所以要带上后面的东西。这道题其实,看if($arr[]=1)这个等于号,是一个所以这是一个赋值的操作,肯定为true会进行die的操作,所以0=1随便赋值。然后input=加密传参,action=test,但是这里一直没成功,弄了好久才发现+被过滤掉了,需要一层的url 编码。的个数,%4e这样的形式只占用一个字节,是统计 a=%4e统计等号的右边。
php代码审计常见漏洞函数介绍
MX的博客
04-29 3136
php代码审计常见漏洞函数介绍 一:常见的容易出现漏洞的函数介绍 1:intval()使用不当导致安全漏洞的分析 1.1:函数介绍 intval() 函数用于获取变量的整数值。intval函数有个特性:“直到遇上数字或正负符号才开始做转换,在遇到非数字或字符串结束时(\0)结束转换”,在某些应用程序里由于对intval函数这个特性认识不够,错误的使用导致绕过一些安全判断导致安全漏洞.此外有些题目还...
php数组分段处理,php数组如何分段
weixin_35417122的博客
03-09 761
array_slice和array_splice函数是用在取出数组的一段切片,array_splice还有用新的切片替换原删除切片位置的功能。类似javascript中的Array.prototype.splice和Array.prototype.slice方法。array_slicearray array_slice ( array $array , int $offset [, int $le...
PHP分段读取大文件并统计
一曲微茫度此生
04-11 2044
转载自:https://www.yduba.com/biancheng-2442221832.html 有时候,我们经常对大文件进行操作和分析,比如:去统计日志里某个IP最近访问网站的情况。nginx 的 assess.log 的文件就记录了访问日志,但是这个文件一般的情况下都是特别大的。用PHP的话,怎么去统计里面的信息呢?这里自己做一个学习总结。 理论方法: 1、把文件一次性读到内存中,...
php怎么实现分段查询,PHP脚本的执行时间如何分段计算出来
weixin_34281501的博客
03-27 256
很多时候我们需要计算PHP脚本的执行时间,来获知脚本的效率等问题。比如有一个一大段的PHP脚本,我们就需要一个分段获取脚本执行时间的方法。先介绍要用到的函数:// 计时函数function runtime($mode = 0) {static $t;if(!$mode) {$t = microtime();return;}$t1 = microtime();list($m0,$s0) = spli...
php strlen ctf,PHP代码审计——EASY CTF篇
weixin_34315803的博客
03-11 698
0x01 extract变量覆盖$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'ctf{xxx}';}else{echo'Oh.no';}}?>?shiyan=&flag=1在file_get_content...
几道无聊的php的比较运算题,有兴趣的玩一玩
weixin_33832340的博客
04-12 61
趣题: 下面的几段代码分别输出true or false? ​第一个: <?php $key=1; var_dump($key == " \t01ab"); ?> 第二个: <?php $key='1'; var_dump($key == " \t01ab"); ?> 第三个: <?php $key=0; var...
PHP对数组的常用处理
欧阳小怪
12-17 1081
PHP处理数组的一些常见函数
sql注入:md5($password,true)
热门推荐
March97的博客
07-27 2万+
       前几天做了一道CTF的题目,是在”实验吧“的一道简单的web题目,当然这道题目很多人都解出来了,因为它的.php文件名就是答案。        他的网页链接里面的php文件名就是’ffifdyop.php‘。          上面的’ffifdyop‘就是我们要输入的密码。哦,忘了介绍,这道题目只需要表单提交密码。       当然如果直接输入ffifdyop,提交后就能出...
is_numeric() 函数
冷月醉雪的博客
04-25 2355
查看更多 https://www.yuque.com/docs/share/0e967912-d05e-4954-862c-5ab23cc9c939
c语言switch case语句 分段函数
09-12
下面是一个示例代码,展示了如何使用switch case语句实现分段函数: ```c #include #include int main() { int x,flag; double y=0; scanf("%d",&x); flag=(x)?1:(x)?2:(x)?3:4; switch(flag) { case 1: y=...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值