php 号码分段,PHP代码审计分段讲解(1)

最新推荐文章于 2023-11-27 22:50:49 发布
最新推荐文章于 2023-11-27 22:50:49 发布
阅读量201 收藏 1
点赞数 1
文章标签: php 号码分段

PHP代码审计分段讲解(1)

PHP源码来自:https://github.com/bowu678/php_bugs

快乐的暑期学习生活+1

01 extract变量覆盖

$flag='xxx';

extract($_GET);

if(isset($shiyan))

{

$content=trim(file_get_contents($flag));

if($shiyan==$content)

{

echo'ctf{xxx}';

}

else

{

echo'Oh.no';

}

}

?>

变量覆盖漏洞:自定义的参数值替换原有变量值的情况

extract()函数介绍:https://www.runoob.com/php/func-array-extract.html

源代码使用extract($_GET)接收了GET请求传输进来的数据,并且将键名和键值转换为变量名和变量的值,可以看到有$flag变量是在extract之前就定义了的,file_get_contents() 函数把整个文件读入一个字符串中。正常的代码流程读取$flag文件并且去除两边的空格,将结果存储在$content里面,然后使用我们传入的$shiyan变量与$content进行比较,如果相同的话就输出flag,否则输出 Oh no。

如果$flag文件存在的话,因为是题目服务器上的文件,我们没有权限知道里面的内容,在其读取到$content变量里面的时候,更无法与其进行比较,进而获取flag

突破点在于:extract()函数在flag变量值的下面,所以我们可以以GET方式对$flag重新赋值,进而读取一个不可能存在的文件,使$content为空,传入$shiyan变量也为空,即可获取flag

如图:

20200704070719-5f002aa7d21d3.png

02 绕过过滤的空白字符

$info = "";

$req = [];

$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

ini_set("display_error", false); //为一个配置选项设置值

error_reporting(0); //关闭所有PHP错误报告

if(!isset($_GET['number'])){

header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) { //foreach 语法结构提供了遍历数组的简单方式

foreach($global_var as $key => $value) {

$value = trim($value); //trim — 去除字符串首尾处的空白字符(或者其他字符)

is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

}

}

function is_palindrome_number($number) {

$number = strval($number); //strval — 获取变量的字符串值

$i = 0;

$j = strlen($number) - 1; //strlen — 获取字符串长度

while($i < $j) {

if($number[$i] !== $number[$j]) {

return false;

}

$i++;

$j--;

}

return true;

}

if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串

{

$info="sorry, you cann't input a number!";

}

elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值

{

$info = "number must be equal to it's integer!! ";

}

else

{

$value1 = intval($req["number"]);

$value2 = intval(strrev($req["number"]));

if($value1!=$value2){

$info="no, this is not a palindrome number!";

}

else

{

if(is_palindrome_number($req["number"])){

$info = "nice! {$value1} is a palindrome number!";

}

else

{

$info=$flag;

}

}

}

echo $info;

代码比较长,但是不慌,从上往下看,用到函数的时候再到函数里再去看构造

if(!isset($_GET['number'])){

header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) { //foreach 语法结构提供了遍历数组的简单方式

foreach($global_var as $key => $value) {

$value = trim($value); //trim — 去除字符串首尾处的空白字符(或者其他字符)

is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

}

}

在这里使用GET方式传入number参数的值,同时也可以通过GET或者POST的方式传入其他参数的值

if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串

{

$info="sorry, you cann't input a number!";

}

使用is_numeric函数检测传入的$number是否为数字,不能传入数字

elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值

{

$info = "number must be equal to it's integer!! ";

}

intval函数获取变量的整数值

strval — 获取变量的字符串值

这一步需要传入的是整数,也就与第一个if条件相矛盾

这两部分都可以通过在number参数前加%00进行绕过

else

{

$value1 = intval($req["number"]);

$value2 = intval(strrev($req["number"]));

if($value1!=$value2){

$info="no, this is not a palindrome number!";

}

else

{

if(is_palindrome_number($req["number"])){

$info = "nice! {$value1} is a palindrome number!";

}

else

{

$info=$flag;

}

}

}

echo $info;

这一部分第一步需要$value1和$value2相等,strrev函数令number取反,所以$number需要是一个回文数字,如12321,第二步需要绕过is_palindrome_number函数,使其返回值为false,其函数为:

function is_palindrome_number($number) {

$number = strval($number); //strval — 获取变量的字符串值

$i = 0;

$j = strlen($number) - 1; //strlen — 获取字符串长度

while($i < $j) {

if($number[$i] !== $number[$j]) {

return false;

}

$i++;

$j--;

}

return true;

}

该函数将$number数字转换为字符串,然后进行首尾依次比较,首尾相同则返回true,否则返回false。

这里看上去是矛盾的,既要令$number是回文,又要令$number不是回文。

分析可知,在绕过else里面的限制时,我们需要的是一个能逃逸出intval和is_numeric函数,却逃逸不出is_palindrome_number函数的字符

在P师傅的博客中,是通过查看PHP底层源代码进行分析的:

https://www.leavesongs.com/PENETRATION/some-sangebaimao-ctf-writeups.html

发现了\f字符能够进行实现上述的逃逸,看源代码当然很好,但是这里我们采用FUZZ的方法,python3脚本

import requests

for i in range(256):

url = "http://127.0.0.1/php_bugs-master/02.php?number=%00%{:02X}12321".format(i)

rep=requests.get(url)

if "x" in rep.text:

print(url)

运行之后结果为:

20200704070720-5f002aa88b0d5.png

所以能够逃逸出来的字符为%0C 和 %2B,使用以上payload读取flag

好像这道题是SCTF2016的一道代码审计题目,挺不错的 😀

weixin_39885690
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bugku ctf 代码审计 extract变量覆盖
qq_42777804的博客
05-21 2508
<?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> extract() 函数从数组中将变量导入到当...
CTF平台题库writeup(四)--BugKuCTF-代码审计(14题详解)
渗透、攻防、CTF、编程
07-04 4323
1、extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 知识点: 变量覆盖 file_get_contents():将整个文件读入一个字符串 trim()去除字符串两侧的空格或者指定
PHP的变量问题
m0_62422842的博客
04-08 3505
php的变量问题是php代码审计中的一部分,相对php反序列化来说较为简单。再此总结一下这类相关内容
BugKuCTF------代码审计模块
qq_42133828的博客
03-20 1246
1.extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 分析代码可得知,ex...
file_get_contents() 函数详解与使用
wangxuanyang_zer的博客
11-27 5980
file_get_contents() 函数是 PHP 中一个功能丰富、易于使用的函数,可以用于文件操作和发起 HTTP 请求。通过深入理解该函数的使用方法,我们可以更高效地处理文件读取和远程资源获取任务。同时,使用上下文选项和其他相关函数,可以使 file_get_contents() 更加灵活和强大。在实际应用中,根据需求的不同,我们可以选择合适的方式来充分发挥其优势,提高代码的可维护性和效率。两个字 🐮 🍺 各位大佬来个三连支持一下。
PHP代码审计分段讲解.zip
08-04
PHP常见漏洞代码解释
PHP代码审计文档.zip
11-02
第19课:PHP代码审计之会话认证漏洞mp4 第18课:PHP伪协议mp4 第17课:PHP弱类型mp4 第16课:PHP代码审计之反序列化漏润mp4 第15课:PHP代码审计之变量盖漏洞mp4 第14课PHP代码审计之任意文件读取及删除漏洞mp4 第13课...
php代码审计入坑实践.pdf
07-30
仅拿出几个洞作为例子进行入坑的讲解, 主要是使用 rips 进行辅助审计, 本文是针对小白入坑作为抛砖引玉, 理论的还未进行详细总结, 本来想在最后加上盾灵系统的审计过程。但是觉得 CMS, 不适合刚入门的同学先...
PHP代码审计音频文件.zip
11-02
任务19:PHP代码审计之会话认证漏洞mp4 任努18:PHP伪协议mp4 任务17:PHP弱类型mp4 任务16:PHP代码审计之反序列化漏润mp4 任务15:PHP代码审计之变量盖漏洞mp4 任务14PHP代码审计之任意文件读取及删除漏洞mp4 任务13...
PHP代码审计资料整理
03-04
PHP代码审计资料整理
php的变量覆盖漏洞前提,PHP中的变量覆盖漏洞
weixin_42355999的博客
03-25 153
简介11.extract()变量覆盖1.extract()extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数返回成功设置的变量数目。extract(array,extract_rules,prefix)参考:https://www.runoob.com/php/func-a...
php的变量覆盖漏洞前提,PHP中的变量覆盖漏洞深入解析
weixin_36282704的博客
03-25 312
1.extract()变量覆盖1.extract()extract() 函数从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。该函数返回成功设置的变量数目。extract(array,extract_rules,prefix)参考引用:https://www.runoob.com/php/func-ar...
ctf php正则截断,BugkuCTF—代码审计—WriteUp(持续更新)
weixin_29628635的博客
03-17 464
BugkuCTF—代码审计—WriteUp(持续更新)extract变量覆盖首先分析下代码:extract函数:image.png[http://123.206.87.240:9009/1.php](http://123.206.87.240:9009/1.php)$flag='xxx';extract($_GET);if(isset($shiyan)) //shiyan这个变量不能为空{$co...
PHP变量覆盖漏洞
wangjian1012的博客
06-01 3376
$flag='xxx';  extract($_GET); if(isset($shiyan))      { $content=trim(file_get_contents($flag));  if($shiyan==$content)      { echo'ctf{xxx}'; } else{ echo'Oh.no';} } 构造flag=1&shiyan=
web8--php函数extract()、file_get_contents()、trim()
qq_32642035的博客
03-09 1464
看题 extract() 函数从数组中将变量导入到当前的符号表。此函数会将数组键名当作变量名,值作为变量的值。 trim()去除字符串首尾处的空白字符 file_get_contents()将整个文件读入一个字符串 要求:ac的值与fn的文件内容相等 file_get_contents()读取一个文件内容到字符串,可以利用php://input绕过,使ac的值与fn输入一致 构造payload ...
php应该避开的关键字,PHP屏蔽过滤指定关键字的方法
weixin_42466518的博客
04-10 235
搜索热词本文实例讲述了PHP屏蔽过滤指定关键字的方法。分享给大家供大家参考。具体分析如下:实现思路:一、把关键字专门写在一个文本文件里,每行一个,数量不限,有多少写多少。二、PHP读取关键字文本,存入一个数组三、遍历关键字数组,挨个用strpos函数去看看内容有没有关键字,如果有,返回true,没有则返回false代码如下:PHP中用strpos函数过滤关键字 */// 关键字过滤函数functi...
php extract 变量覆盖,跟着crownless学Web之strcmp、extract变量覆盖
weixin_42136365的博客
03-10 237
原标题:跟着crownless学Web之strcmp、extract变量覆盖 简介:本文由Web安全版块的新版主crownless原创讲解。下文将以CTF赛题讲解的形式为大家介绍一系列的Web基础知识,讲解的顺序将是循序渐进,因此不需要读者有任何基础知识。希望能吸引更多人关注看雪的Web安全版块,为版块增加人气和活力。本篇为『跟着crownless学Web系列』的第三和第四部分,建议没有了解前两部...
PHP中file_get_contents函数获取带BOM的utf-8,然后json_decode() 返回null的问题
qiyuan371的专栏
01-22 2114
$dmText = file_get_contents( AROOT .'data' . DS . 'DMType.json.php'); if(preg_match('/^\xEF\xBB\xBF/',$dmText)) {     $dmText = substr($dmText,3); }   //trim $dmText = t($dmText); echo $d
PHP代码审计系列(一)
tpaer的博客
12-04 995
本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
java rsa分段解密转php
最新发布
12-22
在将Java RSA 分段加密解密转换为 PHP 时,首先需要了解 Java 和 PHP 之间 RSA 加密算法的差异。在 Java 中,RSA 加密通常是进行分段加密的,这是因为 Java 对于较长的文本会进行分段处理。而在 PHP 中,通常是使用完整的文本进行加密或解密。 要实现 Java RSA 分段加密解密转换为 PHP,首先需要将 Java 代码中的分段加密解密逻辑转换为 PHP 代码。在 Java 中可能会使用 Cipher 类来进行分段加密解密,需要将它对应的 PHP 函数找出来,并进行相应的修改。 其次,需要确保 PHP 的 RSA 加密算法与 Java 中所使用的算法一致,包括密钥长度、填充模式和加密模式等参数。 在进行转换时,还需要考虑数据的编码和解码方式是否一致。Java 中常用的编码方式是 Base64,而在 PHP 中也存在对应的编码函数可以使用。 最后,还需要考虑密钥的生成和管理方式。在 Java 中,通常会使用 KeyPairGenerator 生成密钥对,而在 PHP 中可能需要自行生成密钥对并进行管理。 总之,要实现 Java RSA 分段加密解密转换为 PHP,需要对算法、参数、编码方式和密钥管理等方面进行仔细的分析和转换。最好是参考官方的文档或者专业的教程进行转换,确保转换后的 PHP 代码能够正确地实现 RSA 分段加密解密的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值