php 绕过 正则,数字验证正则绕过

最新推荐文章于 2024-04-28 15:52:01 发布
最新推荐文章于 2024-04-28 15:52:01 发布
阅读量984 收藏 3
点赞数
文章标签: php 绕过 正则

Bugkuctf题库中的一道代码审计题,通过利用各种正则匹配函数特性最终得到flag

源代码如下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31<?php

error_reporting(0);

$flag = 'flag{test}';

if ("POST" == $_SERVER['REQUEST_METHOD'])

{

$password = $_POST['password'];

if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配

{

echo 'flag';

exit;

}

while (TRUE)

{

$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';

if (6 > preg_match_all($reg, $password, $arr))

break;

$c = 0;

$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母

foreach ($ps as $pt)

{

if (preg_match("/[[:$pt:]]+/", $password))

$c += 1;

}

if ($c < 3) break;

//>=3,必须包含四种类型三种与三种以上

if ("42" == $password) echo $flag;

else echo 'Wrong password';

exit;

}

}

?>

请求方法必须为POST

首先弄明白正则匹配函数:

preg_match:执行一个正则表达式匹配,匹配到则返回1,匹配不到则返回0

preg_match_all:执行一个全局正则表达式匹配,返回成功模式匹配的次数,并将匹配结果存储到一个数组中

两个函数的区别是preg_match第一次匹配成功后就停止匹配,而preg_match_all是匹配到字符串结束为止

再弄明白几个正则匹配的特殊字符:

[:graph:] : 除空格,TAB外的所有字符

[:punct:] : 任何标点符号

[:digit:] : 任何数字

[:upper:] : 任何大写字母

[:lower:] : 任何小写字母

接下来来到第一个判断地方:

1

2

3

4

5if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配

{

echo 'flag';

exit;

}

如果这个if语句执行成功,那么我们就获取不到后面的flag值,所以不能让if执行,也就是preg_match必须返回1,即正则匹配成功

在看正则表达式’/^[[:graph:]]{12,}$/’

必须以任意一个除空格,TAB外的标点符号开头和结尾,且出现至少12次

验证如下:

1

2

3

4

5

6

7

8

9<?php

if(isset($_GET['password'])){

$password=$_GET['password'];

$a=preg_match('/^[[:graph:]]{12,}$/',$password);

echo '$a='.$a;

}

?>

输入12个1,看到结果返回1

ba4fa76228ca893e5094adc1f4791201.png

输入小于12个,看到结果返回0

1166ac183a3a1dd8b89edda07394caf6.png

这里需要注意,输入’+’ 会被当做是空格处理,要先将’+’进行URL编码%2b

2e70c18a920f22b4bc001958aac20cd5.png

5bd8cdf75184d720f4676091a8257c80.png

综上,第一个输入要求,输入除空格,TAB外的字符至少十二次

在看下一个判断条件:

1

2

3$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';

if (6 > preg_match_all($reg, $password, $arr))

break;

如果if语句成功执行,break退出循环,我们就得不到flag值

所以我们不能让if语句成功执行,也就是说要让全局匹配成功次数大于6次

在看正则表达式’/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/’

因为是全局匹配,所以匹配成功的条件是检测到任何符号出现1次以上或者任何数字出现1次以上或者任何大写字母出现1次以上或者任何小写字母出现1次以上,一旦匹配成功一次,就开始检测下一次的匹配,这么说有点难理解,直接上代码验证:

1

2

3

4

5

6

7

8

9

10

11<?php

if(isset($_GET['password'])){

$password=$_GET['password'];

$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';

$a=preg_match_all($reg,$password,$arr);

echo '$a='.$a."
";

print_r($arr);

}

?>

f1dada6c2f2fa2c9fc9afcc8270c1425.png

这里输入1aB.

匹配的过程是这样的:先检测到1,符合[:digit:]出现1次,继续检测,检测到a,符合[:lower:]出现1次,继续检测,以此类推,所以最后检测成功次数为4

同时也可以看出返回的数组有两个元素,第一个元素是整个匹配结果,第二个元素是子模式的匹配结果

这题因为不牵涉到数组,就不详细研究

重点关注成功匹配的次数

这里特别说明什么时候是一次匹配的结束,就是检测到不是属于同一种特殊字符为止,因为这里每种特殊字符可以出现1次或者多次,举个例子,我们输入

21f801ccd5b3207dae3ba4511615add4.png

第一次匹配结束是检测到a字符,不符合[:digit:],所以开始第二次匹配

因为这里要成功匹配6次以上,所以每种类型的字符必须间隔出现6次以上,结合第一个条件,字符出现12个以上,于是我们可以输入11aaBB..22cc

验证一下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17<?php

if(isset($_GET['password'])){

$password=$_GET['password'];

if(0>=preg_match('/^[[:graph:]]{12,}$/',$password)){

echo 'Wrong Format 1';

exit;

}

$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';

if(6>preg_match_all($reg,$password,$arr)){

echo 'Wrong Format 2';

exit;

}

echo 'success';

}

?>

结果如下:

33b4a4d68a9b654e925fa91f044327ba.png

再来看第三个条件:

1

2

3

4

5

6

7

8$c = 0;

$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母

foreach ($ps as $pt)

{

if (preg_match("/[[:$pt:]]+/", $password))

$c += 1;

}

if ($c < 3) break;

如果$c<3,那么我们就得不到flag值,也就是说要让$c>=3,即成功匹配三次或以上

即出现三种类型字符或以上,按上面的输入:11aaBB..22cc,就行了,验证一下:

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29<?php

if(isset($_GET['password'])){

$password=$_GET['password'];

if(0>=preg_match('/^[[:graph:]]{12,}$/',$password)){

echo 'Wrong Format 1';

exit;

}

$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';

if(6>preg_match_all($reg,$password,$arr)){

echo 'Wrong Format 2';

exit;

}

$c=0;

$ps=array('punct','digit','upper','lower');

foreach($ps as $pt){

if(preg_match("/[[:$pt:]]+/",$password)){

$c += 1;

}

}

if($c<3){

echo 'Wrong Format 3';

exit;

}

echo 'success';

}

?>

54f32d48f99d7998fd9c99660d3f07f7.png

再看最后一个关键条件:

1if("42" == $password) echo $flag;

执行了这个语句我们才可以得到想要的flag,也就是password值等于’42’,因为类型都是字符串,所以password中的值必须等于42,结合上面的三个条件

成功的输入可以有:

42.000e%2b000000000

420.000000000000e-1

ec5fdf9746754b63e53a0bb6f35f8d77.png

9ffb51c40a3835d8c208b100cfa86329.png

张虫草
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php正则绕过
Hammers_12的博客
09-07 1463
一、空格正则绕过: ${IFS} 但不能写作 $IFS $IFS$9 %09 <> < 二、 在PHP中,在正则绕过时可以利用\包裹住被过滤的函数,以此达到绕过的目的。例如: cat 进黑名单,用 c\a\t 绕过 空格进黑名单,用 ${IFS} 或者 %09 绕过 ✳ 和 flag 都被过滤,用和 ✳ 差不多的 ? 绕过,即 ???,获取四位的 flag ...
php 绕过 正则,Bugku | 数字验证正则绕过
weixin_28949937的博客
03-23 319
语法:int preg_match_all (字符串$ pattern ,字符串$ subject [,数组和$ matches [,整数$ flags = PREG_PATTERN_ORDER [,整数$ offset = 0 ]]] )搜索主题中所有匹配模式给定正则表达式的匹配结果并将它们以标志指定顺序输出到匹配中。在第一个匹配找到后,子序列继续从最后一次匹配位置搜索。参数说明:$ patte...
PHP CTF常见考题的绕过技巧_str_replace函数绕过
2301_79985178的博客
04-28 693
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。绕过方法:preg_match只能处理字符串,如果不按规定传一个字符串,通常是传一个数组进去,这样就会报错,如果正则不匹配多行(/m)也可用上面的换行方法绕过。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。
正则表达式的回溯绕过
m0_63521991的博客
08-05 621
正则表达式的回溯绕过是指通过构造恶意输入,使得正则表达式引擎在匹配字符串时产生大量回溯操作,从而导致性能下降甚至造成拒绝服务(DoS)攻击。由于模式中的量词(例如星号*、加号+、问号?、花括号{}等)使得可能有多种不同的匹配方式,导致引擎需要尝试不同的组合,直到找到匹配的结果。这种尝试的过程就称为回溯。回溯操作会导致时间复杂度呈指数级增长,对于复杂的正则表达式和长字符串,性能损失会非常明显。
PHP花式绕过大全
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
php绕过正则表达式,关于php:通过跳过锚标记来检查正则表达式
weixin_42151305的博客
03-27 265
我已经写了一个用于搜索特定关键字的正则表达式,并用特定的URL替换了该关键字。我当前的正则表达式为:\b$keyword\b其中的一个问题是,如果我的数据包含锚标记,而该标记包含此关键字,则此正则表达式也会替换锚标记中的该关键字。我想搜索给定的数据,但锚标记除外。 请帮帮我。 感谢您的帮助。例如。 关键字:迪士尼I / P:This is Disney The disney should be...
preg-match绕过
最新发布
05-19
过滤用户输入:在将用户输入作为正则表达式模式使用之前,应该对其进行过滤和验证,确保用户输入符合预期,避免恶意输入绕过验证。 限制可接受的输入:在构建正则表达式时,限制可接受的字符范围以及数量,以减少...
preg-match绕过-15-条件判断结合逻辑运算符.ev4.rar
05-19
然而,当开发者在使用 `preg_match()` 进行安全性检查时,如果没有正确地构建和应用正则表达式,可能会导致安全漏洞,让攻击者有机会绕过限制。 标题 "preg_match绕过-15-条件判断结合逻辑运算符.ev4.rar" 提示我们...
preg-match绕过-01-第九天知识点回顾.ev4.rar
05-19
例如,当开发者未对用户输入进行适当过滤和转义时,攻击者可能利用不完整的正则表达式或者特殊字符进行绕过。 三、`preg_match`绕过策略 1. **利用未完全限定的正则表达式**:若正则表达式没有正确结束,攻击者...
validate_url:这是用于通过正则表达式验证 url 和电子邮件的 repo
06-27
9. **测试与调试**:为了确保代码的准确性,项目可能包含测试用例,开发者可以运行这些测试以验证正则表达式的有效性,并在遇到问题时进行调试。 10. **代码优化**:正则表达式虽然强大,但也容易复杂化,可能影响...
PHP常见过waf webshell以及最简单的检测方法
01-20
之前在Webshell查杀的新思路中留了一个坑 ,当时没有找到具体找到全部变量的方法,后来通过学习找到了个打印全部量的方法,并再次学习了下PHP webshell绕过WAF的方法,以此来验证下此方法是否合理。 如有错误,还请...
PHP 正则表达式
weixin_34001430的博客
03-12 243
思维导图    点击下图,可以看具体内容!     介绍          正则表达式,大家在开发中应该是经常用到,现在很多开发语言都有正则表达式的应用,比如javascript,java,.net,php等等,我今天就把我对正则表达式的理解跟大家唠唠,不当之处,请多多指教!   需要知道的术语——下面的术语你知道多少?   Δ  定界符 Δ  字符...
PHP - 函数绕过 - preg_match()
3569
11-29 1万+
http://f1sh.site/2018/11/25/code-breaking-puzzles%e5%81%9a%e9%a2%98%e8%ae%b0%e5%bd%95/   待绕过目标如下 &lt;?php echo preg_match('/&lt;\?.*[(`;?&gt;].*/is', $_GET['a']); 最常见的绕过 数组 http://localhost/?a...
preg_match函数,正则匹配绕过
热门推荐
SsMing的博客
12-27 1万+
以ichunqiu欢乐赛为例子 1.通过.swp 文件恢复出php脚本 vi index.php.swp recover 2.第一关源码为 &lt;?php function areyouok($greeting){    return preg_match('/Merry.*Christmas/is',$greeting); } $greeting=@$_POST['greetin...
preg_match函数绕过
weixin_42346836的博客
10-16 4668
PHP preg_match():执行正则表达式匹配 函数语法格式如下: preg_match($pattern,$subject [, &$matches [, $flags = 0 [, $offset = 0 ]]]) ###参数说明如下: $pattern:要搜索的模式,也就是编辑好的正则表达式; $subject:要搜索的字符串; $matches:可选参数(数组类型),如果提供了 $matches,它将被填充为搜索结果。 $matches[0] 包含完整模式匹配到的文本, $mat
PHP代码执行绕过姿势 无数字字母类型
qq_45691294的博客
10-31 3268
问题引导 <?php highlight_file(__FILE__); header("Content-type:text/html;charset=utf-8"); error_reporting(0); if(preg_match('/[a-z0-9]/is',$_GET['shell'])){ echo "hacker!!!"; }else{ eval($_GET['shell']); } 看到上面的代码,很明显是一道代码执行的题目,但是利用难点在对输入参数进行了正则匹配,过
数组绕过php语言的特性
Bad_Monkey的博客
09-19 1646
php 判断相等有两个符号 == 只判断数值是否相等,不管变量类型是什么 === 要求数值,和类型都要相等 php是一门弱语言 比如 <?php $a=12345; $b='12345hahahaha';//这个字符串可以看成是整数12345,同样字符串'abcdef' 可以看成整数 0 $a==$b ; $a!===$b; 数组绕过 现在知道的有这么多,以后还可以补,不会的时候可...
php 操作系统之间的一些黑魔法(绕过文件上传a.php/.)
3569
01-02 7674
http://wonderkun.cc/index.html/?p=6260x00 前言做了一个CTF题目,遇到了一些有趣的东西,所以写了这篇文章记录了一下。 但是我却不明白造成这个问题的原因在哪里,所以不知道给文章起什么标题,就姑且叫这个非常宽泛的名字吧。0x01 CTF题目原型在遇到的题目中,最后一步是getshell,大概可以简化为以下代码: // 测试环境 linux + apache2
CTF PHP代码审计 正则表达式 弱类型比较
baynk的博客
03-22 972
一进来就是PHP正则表达式 这个比较难的地方在于正则表达式里面的符号代表什么含义,网上去找了下资料。 在有了上面那个的基础后就比较容易了,分段来说明。 if ("POST" == $_SERVER['REQUEST_METHOD']) 需要用POST方式提交。 if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) { ...
csrftoken绕过绕过正则表达式
09-08
绕过正则表达式来绕过csrftoken的验证,可以采取以下几种方法: 1. 使用空referer:有些网站在进行csrf验证时会通过referer进行校验。可以将数据包中的referer置为空,从而绕过referer的校验。这种方法适用于一些没有考虑到referer为空的情况或者业务需要referer为空的情况的网站。 2. 指定域绕过:在一些情况下,网站要求referer必须在特定的域下才能通过csrf验证。可以使用@符号,比如abc.com@xxx.com/poc.html,来绕过域的限制。还可以通过找到能够发布文章的子域名,将poc发布到该子域名下,诱导其他人访问来绕过csrf验证。 3. 结合其他漏洞攻击:如果是GET型的csrf,可以找到一个能够从网站内部访问POC的点,比如网站头像处设置成csrf的poc。还可以结合其他漏洞,比如任意URL跳转漏洞或XSS漏洞,来达到绕过csrf验证的目的。 总结起来,绕过正则表达式来绕过csrftoken的验证可以通过使用空referer、指定域绕过或结合其他漏洞攻击等方法来实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值