CTF-Web22(涉及PHP代码审计)

最新推荐文章于 2023-09-21 20:00:18 发布
最新推荐文章于 2023-09-21 20:00:18 发布
阅读量384 收藏
点赞数
分类专栏: CTF-Web
原文链接:www.weizhi.com
版权
本文深入探讨了一段PHP代码的安全性,涉及回文数检测、输入验证和错误处理。通过代码审计,发现了对数字类型的限制以及回文数判断的逻辑。文章指出,由于intval函数的边界值问题,可以利用溢出来绕过特定条件,同时通过在数字前添加特殊字符如' '来规避is_palindrome_number函数的检查。解决方案和绕过策略被详细阐述,为理解PHP安全和漏洞利用提供了实例。
摘要由CSDN通过智能技术生成

22. 你真的会PHP吗?

分析:

首先我们来到欢迎界面,看到了havefun!再无其他信息,测试了几下发现需要源码,在返回包找到了提示

或者burpsuite抓包:

我们可以看见 hint(提示),那就打开它看看吧

直接代码审计:

<?php

$info = ""; 
$req = [];
$flag="xxxxxxxxxx";

ini_set("display_error", false); 
error_reporting(0); 

if(!isset($_POST['number'])){ //注意这里post请求  1.不能为空
   header("hint:6c525af4059b4fe7d8c33a.txt");  //文件头添加hint提示。

   die("have a fun!!"); // 直接就die了
}
foreach([$_POST] as $global_var) { //遍历数组
    foreach($global_var as $key => $value) { 
        $value = trim($value); //trim() 函数移除字符串两侧的空白字符或其他预定义字符。
        is_string($value) && $req[$key] = addslashes($value); 
    } 
} 
//global $var是外部$var的同名引用或者指针。
//函数
function is_palindrome_number($number) { 
    $number = strval($number); //本函数可将数组及类之外的变量类型转换成字符串类型。
    $i = 0; 
    $j = strlen($number) - 1;//strlen() 函数返回字符串的长度 
    while($i < $j) { 
        if($number[$i] !== $number[$j]) { 
            return false; 
        } 
        $i++; 
        $j--; 
    } 
    return true; 
} 

//判断是否为数值型
if(is_numeric($_REQUEST['number'])){

   $info="sorry, you cann't input a number!";

}elseif($req['number']!=strval(intval($req['number']))){

     $info = "number must be equal to it's integer!! ";  

}else{
     $value1 = intval($req["number"]);
     $value2 = intval(strrev($req["number"])); //strrev() 函数反转字符串。 

     if($value1!=$value2){
          $info="no, this is not a palindrome number!";
     }else{
          //判断回文数
          if(is_palindrome_number($req["number"])){
              $info = "nice! {$value1} is a palindrome number!"; 
          }else{
             $info=$flag;
          }
     }
}

echo $info;

解析:

is_numeric($_REQUEST['number']);
$req['number']!=strval(intval($req['number'])

函数判断是否为数字 这两句要求提交的数不能是数字包括小数

if(intval($req["number"])=intval(strrev($req["number"])))

这句的要求为该数的反序列的整数值应该等于它本身的整数值即是一个回文数

is_palindrome_number($req["number"])

这句要求提交的数不是一个回文数

php函数:
ini_set("display_error",false);这是设置php.ini,不报错
trim()函数移除字符串两侧的空白字符或其他预定义字符。
intval()获取变量的整数值,允许以使用特定的进制返回。不管什么类型如果是数字,就返回数字,如果不是数字就返回0intval()而言,如果参数是字符串,则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值。如果字符串第一个是‘-',则从第二个开始算起。如果参数是符点数,则返回他取整之后的值。当然intval()返回的值在一个4字节所能表示的范围之内
(-2147483648~2147483647),对于超过这个范围的值将用边界值代替。
strval()把值变为字符串
strrev()函数反转字符串。
is_numeric检测变量是否为数字或数字字符串
$_REQUEST变量默认情况下包含了$_GET,$_POST和$_COOKIE的数组。
函数漏洞:
关于使用intval强制转换成数字的问题。数字大于2147483647会出现溢出出现负数。使用个方法来替代这个吧
获取flag条件
1:必须要有POST['number']这个数据
2:POST【‘number’】的值必须为字符串
3;POST【‘number’】的值和strval(intval($req['number'])的值要相同
4:POST【‘number’】的翻转字符串必须和原字符串相同
5:POST【‘number'】的值不能为回文字符串

思考:
第一条没什么,第二条貌似和第三条冲突,因为根据intval的功能,它把一个字符串转化为int型,因为它必定会截取掉原来字符串中的字符,必定会和原来不同。第四条的第五条也看似冲突,因为翻转字符要和原字符相同,但是它还不能是回文字符串。

        根据查的资料,第三条的第四条很容易解决,根据intval()返回的值在一个4字节所能表示的范围之内(-2147483648~2147483647)(32位)(64位不一样),对于超过这个范围的值将用边界值代替。可以利用一个边界值来绕过应为边界值的翻转为7463847412,它大于2147483647,则它为2147483647,两值相等,且不是回文字符。

解决方法:

我们可以利用intval函数的限制即:Intval最大的值取决于操作系统

32位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例,在这样的系统上, intval(‘1000000000000’) 会返回 2147483647。构造payload:url?2147483647%00绕过,在浏览器上没有反应,拿burp post

is_numeric函数在开始判断前,会先跳过所有空白字符,可是题目获取$req[‘number’]的时候明明使用trim过滤了空白字符,这时候我们可以引入\f(也就是%0c)在数字前面,来绕过最后那个is_palindrome_number函数,而对于前面的数字判断,因为intval和is_numeric都会忽略这个字符

所以我们可以另构造url?number=%00%0c121绕过

我们还可以使用科学计数法绕过:

 

补充:

 

红烧兔纸
关注
专栏目录
ctf中怎样获取php文件源码,CTF-Web14(涉及PHP代码审计——不走寻常路的绕过)
weixin_30539317的博客
03-09 1634
CTF-Web14(涉及PHP代码审计——不走寻常路的绕过)CTF-Web14(涉及PHP代码审计——不走寻常路的绕过)14.程序逻辑问题分析:查看源代码:初了解(可略):1.mysql_fetch_array() 中可选的第二个参数 result_type 是一个常量,可以接受以下值:MYSQL_ASSOC,MYSQL_NUM 和 MYSQL_BOTH。本特性是 PHP 3.0.7 起新加的。2...
ctf-web
weixin_43150428的博客
11-04 2787
ctf-web 信息搜集 认证绕过 SQL注入 文件上传 文件包含 PHP代码审计 信息搜集 源码泄露 页面源代码 敏感文件泄漏 备份文件(.swp/.bak/.beifen/~/phps等) [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MGonEuLW-1604453612546)(https://i.loli.net/2020/11/02/kUboAxLhtRvD85z.png)] 数据库(mdb) 压缩包(zip/tar.gz//DS_Stor
php下intval()和(int)转换使用与区别
代码技巧
01-10 2093
代码如下:php echo "数值强制转换:"; $string="2a"; $string1=intval($string); echo '$string1的值:'.$string1.'$string2的值:';//单引号不会输出变量,将原样输出 $string2=(int)($string); echo $string2 ?>手册上查不到。 这也是手册上说的:引用: int intval (
CTF-Web15(涉及PHP代码审计-简单)
→_→
09-07 657
15.Once More 随便输入一个密码,check,显示:Invalid password 点击“View the source code” 查看到如下源码 <?php if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '<p>You password must be alphanumeric</p>';.
PHP代码审计ctfshow web入门 php特性 93-104
m0_63563528的博客
08-01 713
假设 “1.php” 是在 $allow 数组中,则会将 <?当访问 “1.php” 时,恶意代码 system(“tac flag36d.php”) 将会被执行,显示名为 “flag36d.php” 的文件内容的逆向(从最后一行到第一行)。正则表达式的含义是任意字符,后面跟着"p",后面跟着任意字符,后面跟着"h",后面再跟着任意字符,最后跟着"p",而。
web-22
Javajsjsh的博客
05-05 120
什么是AJAX 概述:Ajax全名: Ajax(Asynchronous JavaScript and XML) 异步JavaScript和XML Ajax实际上是下面这几种技术的融合: (1)XHTML和CSS的基于标准的表示技术 (2)DOM进行动态显示和交互 (3)XML和XSLT进行数据交换和处理 (4)XMLHttpRequest进行异步数据检索 (5)Javascript将以上技术融合在一起 为什么需要使用Ajax技术? 在我们之前的开发,每当用户向服务器发送请求,哪怕只是需要更新一
Web方向】 PHP代码审计-CTF wp2
wanderer的博客
11-14 477
php代码审计 攻防世界
CTF---Web---文件包含---02---rot13伪协议
qq_22160557的博客
07-28 1718
文章目录前言一、题目描述二、解题步骤1、页面跳转2、文件包含(参数为page)3、rot13伪协议包含4、rot13伪协议读取5、rot13编码解码6、代码审计7、构造payload8、得到flag总结 前言 题目分类: CTFWeb—文件包含—02—rot13伪协议 一、题目描述 题目:13、另辟蹊径 (题号为13) 二、解题步骤 1、页面跳转 Step1:点击运维设备,会跳转到http://192.168.87.183/index.php界面。 2、文件包含(参数为page) Step2:点击
ctf-web--总结几点基础题的做题思路
热门推荐
Sanky0u的博客
08-14 2万+
做了三天web题了,因为刚入门,还是不要做得太快,先把前几天学到的好好总结一下,一部分是做的几道bugku上的web题,一部分是合天网安上面做的几道web题,这篇博客就先介绍第一部分。 1. 看源码可以右键->【查看网页源代码】,也可以用火狐和谷歌浏览器的按F12键,按F12键可以修改html源代码方便构造一些值提交,但如果不需要的话直接右键查看源代码更直观,看网页里面的注释之类的都很方便。 2.
CTF---Web---文件包含---03---require_once
qq_22160557的博客
07-28 1876
文章目录前言一、题目描述二、解题步骤1、御剑扫描2、审计源代码3、构造payload4、查表名5、查列名6、查字段名总结 前言 题目分类: CTFWeb—文件包含—03—require_once 一、题目描述 题目: b-11-未写完的网站 二、解题步骤 1、御剑扫描 Step1:用御剑扫描后,得到web.zip,为网站源代码。 2、审计源代码 Step2:题目逻辑: info.php页面中的role变量未经过addslashes过滤,经过将传入的$tem参数赋值为…/edit_info时,re
CTF-PHP代码审计学习笔记分享
m0_62945162的博客
06-12 1395
CTF学习笔记分享-PHP代码审计。自己总结,若有错误,请联系改正,谢谢!
Bugku CTF web22Web
ChaoYue_miku的博客
03-05 485
0、打开网页,查看题目描述 送给大家一个过狗一句话: $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) 这句话有什么含义呢,实际上就是代码审计 我们发现GET方法接受了一个变量s,而且也没有什么过滤,因此考虑直接读取文件目录 1、构造并上传payload:http://114.67.2
PHP字符串转换为int值
jquery教程
08-30 2854
有时有int格式中的一个变量的值是很重要的。eaxmple,如果您的访客填写表格,随着年龄的领域,这应该是一个整数。然而,在$ _POST数组,你把它作为一个字符串。 一个PHP字符串转换为int是很容易的。我们需要使用在你的变量类型casting.So你需要使用(INT) 。下面是一个例子,如何做到这一点: 代码: $str = "10"; $num = (int)$s
php int类型转换
你的世界我做主
08-02 649
int 是集合 ℤ = {…, -2, -1, 0, 1, 2, …} 中的某个数。 要将一个值转换为 int, 用 (int) 或 (integer) 强制转换。 不过大多数情况下都不需要强制转换,因为当运算符,函数或流程控制需要一个 int 参数时,值会自动转换。还可以通过函数 intval() 来将一个值转换成 int 整型。 intval()语法 intval(mixed $value, int $base = 10): int 参数 value 要转换成 integer 的数量值 base
WEB22_Js原生Ajax和Jquery的Ajax
小强博客
03-22 437
一、Ajax概述 1.什么是同步,什么是异步 同步现象: 客户端发送请求到服务器端,当服务器返回响应之前,客户端都处于等待卡死状态 异步现象: 客户端发送请求到服务器端,无论服务器是否返回响应,客户端都可以随意做其他事情,不会被卡死 2.Ajax的运行原理 页面发起请求,会将请求发送给浏览器内核中的Ajax引擎,Ajax引擎会提交请求到 服务器端,在这段时间里,客户端可以任意进行任意操作,直到服务...
php 文本转int,php怎样将字符串转为int类型
weixin_39737001的博客
03-13 135
php将字符串转为int类型的方法:可以利用内置函数intval()来实现。intval()函数用于获取变量的整数值,如果执行成功则返回integer值,如果执行失败则返回0,例如:【intval(“1”)】。函数介绍:intval() 函数用于获取变量的整数值。(推荐教程:php视频教程)intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 intege...
Ctfshow web入门 代码审计web301-web310 详细题解 全
最新发布
Jay17的博客
09-21 1855
Ctfshow web入门 代码审计web301-web310 详细题解 全
Bugku web22 过狗一句话
weixin_44522540的博客
02-23 193
十八、web22 过狗一句话 本题:php scandir()函数、assert代码执行漏洞 <?php $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); //explode("#",$poc);将$poc以#为分界符号分为数组 $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; // 这句就相当于$poc_2=assert $poc_2($
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值