ctf php代码审计 绕过,Bugku CTF 之代码审计解题记录

最新推荐文章于 2023-11-03 00:42:20 发布
VIP文章 最新推荐文章于 2023-11-03 00:42:20 发布
阅读量735 收藏 2
点赞数 1
文章标签: ctf php代码审计 绕过

前言

此笔记为在Bugku CTF平台上做代码审计题目的过程,也算是一篇wp吧

extract变量覆盖

extract($_GET):

$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中

extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量

file_get_contents():将整个文件读入一个字符串

trim()去除字符串两侧的空格或者指定字符trim(’string’,’string you want to delete’)

extract()函数的变量覆盖漏洞在于如果导入的数组中有与原来符号表中同名的变量,将会覆盖掉原有的变量,因此对于这道题,我们只需要构造payload?shiyan=&&flag=

此时我们就可以利用变量覆盖漏洞,使原有的flag漏洞的值被覆盖为空,再与我们传入的shiyan变量相比较,空等于空,因此得到flag

ef2dccb22b6c01b4461760053cf34af8.png

strcmp比较字符串

题目地址:

http://123.206.87.240:9009/6.php

5dea0da5476f6bd10b159110298ed765.png

由源码可以看出,题目通过GET方式传递参数a,然后将a和flag变量的值进行比较,若相等则输出flag的值。int strcmp(string str1,string str2)

如果str1小于str2返回0;如果两者相等返回0

这个函数存在一个漏洞就是当传入的参数不为字符串类型时,这个函数将发生错误,在php5.3之前,函数在显示错误信息后,将会返回0,因此我们可以传入payload?a[]=123

即可得到flag

48bde9c4190b2122ff18a84c52cf91d5.png

urldecode二次编码绕过int eregi(string pattern,string string,[array regs])

eregi()函数在一个字符串搜索指定模式的字符串。搜索不区分大小写,如果匹配成功则返回TRUE,否则返回FALSEurldecode()

urldecode()函数的作用就是将url编码后的字符串还原成原来的样子

因此这段代码的意思就是通过GET方式传入id参数,id的值不可以是hackerDJ,但是id的值在url解码后要为hackerDJ才可以得到flag,所以考虑用url二次编码绕过,在转换软件中对hackerDJ进行二次url编码后得到payload?id=%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41

即可得到flag

9fd6220566b29a382bd29a98a7e749f1.png

md5()函数

题目地址:http://123.206.87.240:9009/18.php

题目源码如下:

c43b618abf6b731e1ccffc95647c8388.png

最低0.47元/天 解锁文章
哦日常
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4301
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
网络安全+CTF+源码审计+O泡易支付V1.zip
11-19
网络安全+CTF+源码审计+O泡易支付V1.zip
CTF工具之seay源代码审计系统(web).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
php 函数用法 extract()
qq_40162483的博客
05-01 375
extract() 函数 用于将一个数组内的值   赋予给它的键变量   在做一些配置时很有用  不需要在给键设置为变量再赋值,
PHP数组函数extract 使用详解
lxw1844912514的博客
04-21 1024
extract—从数组中将变量导入到当前的符号表 说明 extract(array&$array,int$flags=EXTR_OVERWRITE,string$prefix= ""):int 本函数用来将变量从数组中导入到当前的符号表中。 检查每个键名看是否可以作为一个合法的变量名,同时也检查和符号表中已有的变量名的冲突。 警告 不要对不可信的数据使用extract(),类似用户输入 (例如$_GET、$_FILES)。 参数 array 一个关联数组...
CTFshow 红包挑战
qq_63025927的博客
11-03 100
参数1会生成报错,name和value传参意味着修改php.ini报错设置,将报错内容写成flag.php储存到web根目录中,再访问flag.php即可获取flag。有5个拓展包包含了xdebug,此拓展在处理截断问题时会将异常的payload回显,而system可以用0字节进行截断触发异常也就是利用%00截断触发异常。常规的目录遍历还是能够实现的,flag也在根目录下,但是GET传参的前面已经设置好了ls命令,尝试用命令分隔符,无果。
CTF代码审计
weixin_43749601的博客
10-20 2058
extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 1、extract()函数使用数组键名作为变量名,使用数组键值作为变量的值,当变量中有
CTF-Web24(涉及PHP代码审计,较简单)
→_→
09-26 535
24.FALSE 分析: PHP函数 isset():检测变量是否设置 只能用于变量,传递任何其它参数都将造成解析错误。若想检测常量是否已设置,可使用 defined() 函数 格式: isset ( mixed var [, mixed var [, ...]] )     若变量不存在则返回 FALSE    若变量存在且其值为NULL,也返回 FALSE    若变量存在且值不为NULL,则返回 TURE     同时检查多个变量时,每个单项都符合上一条要求...
CTF web题日常积累——代码审计题型
zhy的博客
03-27 4308
1.变量1 题目来源: https://ctf.bugku.com/challenges 这是一个入门的代码审计题,难度不大,主要在于看代码逻辑和正则。 题目链接直接打开便是一段php源码,直接观察这个代码。明显可以看到一个正则表达式,这个正则表达式意为匹配都是字母的串。 而这里明显光是正则表达式是不够的,继续仔细看,在最后有一个$$...
一道代码审计
silence1_的博客
10-31 514
利用php伪协议写文件 题目是p神的code-breaking中的phpmagic。 先?read-source=1可以读到源码 php内容为: <?php if(isset($_GET['read-source'])) { exit(show_source(__FILE__)); } define('DATA_DIR', dirname(__FILE__) . '/data/' ...
CTFPHP代码漏洞审计
weixin_43934591的博客
05-02 605
1、变量覆盖     extract造成的变量覆盖       extract($array)的作用是将数组键名作为变量名,使用数组键值作为变量值。它存在一个安全漏洞,若使用函数默认参数,那么如果数组中的某个键值在php代码中的某个变量名相同,那么就会覆盖这个变量。   &nbs...
记录ctf解题过程及脚本.zip
10-25
记录ctf解题过程及脚本
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
实验-三、数据库安全性(目的、要求和模板).doc
04-24
实验-三、数据库安全性(目的、要求和模板).doc
基于Docker搭建K8s集群离线包
04-24
基于Docker搭建K8s集群离线包,包含部署时所需的全部文件,可在内网环境中使用,K8s为1.23.0版本,docker为20.10.9-3版本
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip
04-24
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行!基于springboot+vue实现的求
基于Android系统Api封装常用工具类.zip
04-24
基于Android系统Api封装常用工具类.zip
基于PCA和SVM的人脸识别
最新发布
04-24
svm 基于PCA(主成分分析)和SVM(支持向量机)的人脸识别是一种常见的方法。这里是一个简要说明: PCA(主成分分析): PCA是一种降维技术,它通过线性变换将高维数据转换为低维数据,同时保留最大的数据方差。 在人脸识别中,PCA被用来提取人脸图像中的主要特征,从而减少数据的维度,并保留最重要的信息。 SVM(支持向量机): SVM是一种监督学习算法,用于分类和回归分析。 在人脸识别中,SVM被用来构建一个分类器,以将提取的人脸特征映射到相应的人脸身份标签。 基于PCA和SVM的人脸识别流程: 训练阶段: 收集训练数据集,包括多个人的人脸图像和相应的标签。 对每个人脸图像应用PCA,将其转换为低维特征向量。 使用这些特征向量训练一个SVM分类器,使其能够将人脸特征向量与相应的人脸标签关联起来。 测试阶段: 对待识别的人脸图像应用相同的PCA转换,将其转换为与训练数据相同的低维特征向量。 使用训练好的SVM分类器,将待识别的人脸特征向量与已知的人脸标签进行比较,从而确定其身份。 优点: PCA可以有效地降低数据的维度,减少计算复杂度,并提取最相关的特征。 SVM在处理
天津科技大学-答辩通用PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。
ctf 代码审计题目
10-21
其中,代码审计题目是CTF比赛中的一种常见类型,要求参赛者对给定的代码进行分析和审计,找出其中的漏洞并进行利用,最终获取flag(标志性字符串)。 在代码审计题目中,参赛者需要对给定的代码进行仔细的分析,找...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值