Bugku 代码审计 wp

最新推荐文章于 2022-11-02 09:09:04 发布
最新推荐文章于 2022-11-02 09:09:04 发布
阅读量537 收藏 1
点赞数 1
分类专栏: ctf之家
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42045038/article/details/81629695
版权

小白的总结,如有写错还请大佬们多指点,谢谢了!

代码审计:

1.extract变量覆盖

<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>


extract( )函数使用参考:http://www.w3school.com.cn/php/func_array_extract.asp
目的:$shiyan==$content

Get请求?flag=&shiyan=,extract()会将&flag和&gift的值覆盖,将变量的值设置为空或者不错在的文件就满足$gift==$content.

flag{bugku-dmsj-p2sm3N}

2.strcmp比较字符串

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);
else
print 'No';
}
?>


这里就是利用了strcmp的一个漏洞就是传一个数组返回的值是Null(0)这样两个值就相等了(这里是不能比较),最终返回的就是0.

构造payload:http://120.24.86.145:9009/6.php?a[]=0

flag{bugku_dmsj_912k}


3.md5函数

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password'])
print 'Your password can not be your username.';
else if (md5($_GET['username']) === md5($_GET['password']))
die('Flag: '.$flag);
else
print 'Invalid password';
}
?>


看完代码就发现代码的意思是让两个不一样的数使他们的md5相等,md5()函数要求接收一个字符串,若传递进去一个数组,则会返回null(加了‘ ’就相当于字符串的代表了)因此向$_GET数组传入两个名为username、password的不相等的数组,从而导致md5()均返回空,于是得到flag,如访问 http://chinalover.sinaapp.com/web17/index.php?username[]=&password[]=1

Flag: flag{bugk1u-ad8-3dsa-2}


4.数组返回NUll绕过

<?php
$flag = "flag";

if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
echo 'You password must be alphanumeric';
else if (strpos ($_GET['password'], '--') !== FALSE)
die('Flag: ' . $flag);
else
echo 'Invalid password';
}
?>

根据正正则表达式ereg()的限制,我们需要构造password的值里有^[a-zA-Z0-9]+$,及至少一个数字或者字符串相等(大写或者小写),不包括其他的字符。但是strops需要匹配到--才能输出flag,所以我们要用数组的方法绕过ereg()函数和strpos()函数
ereg只能处理字符,而password是数组,所以返回的是null,三个等号的是不用进行类型的转换,所以null!==false。
strpos的参数同样是不能够是数组,所以返回的依旧是null,null!==false也是正确的。

Flag: flag{ctf-bugku-ad-2131212}


5.弱类型整数大小比较绕过

$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;
if($temp>1336){
echo $flag;

is_numeric()判断变量是否为数字或数字字符串

is_numeric()判断对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符之能放在数值后所以,查看函数发现该函数对于第一个空格字符会跳过空格字符判断,接着后面的判断
构造:http://120.24.86.145:9009/22.php?password=5555%00或者http://120.24.86.145:9009/22.php?password=5555%20

flag{bugku_null_numeric}


6.sha()函数比较绕过

<?php
$flag = "flag";
if (isset($_GET['name']) and isset($_GET['password']))
{
var_dump($_GET['name']);
echo "
";
var_dump($_GET['password']);
var_dump(sha1($_GET['name']));
var_dump(sha1($_GET['password']));
if ($_GET['name'] == $_GET['password'])
echo '

Your password can not be your name!

';
else if (sha1($_GET['name']) === sha1($_GET['password']))
die('Flag: '.$flag);
else
echo '
Invalid password.

';
}
else
echo '
Login first!

';
?>


看代码可以发现if ($_GET['name'] == $_GET['password'])中的数组不同,else if (sha1($_GET['name']) === sha1($_GET['password']))中的由于sha1函数不能处理数组类型,将报错并返回false===false成立,这样就绕过了sha()函数获得flag。
PHP基础知识:
PHP中用两种比较符“==”,“===”:
“===”再进行比较是,会先判断两种字符串的类型是否相同,在比较
“==”在进行比较的时候,会先将字符串的类型转换成相同的类型,在比较。


构造:http://120.24.86.145:9009/7.php?name[]=1&password[]=2

flag{bugku--daimasj-a2}


7.md5加密相等绕过

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "flag{*}";
} else {
echo "false!!!";
}}
else{echo "please input a";}
?>


PHP在处理哈希字符串的时候,会利用“!=”或“==”来对哈希值进行比较,它把每一个一“0E”开头的哈希值解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以“0E”开头,那么PHP将会认为他们相同,都是0.
构造:http://120.24.86.145:9009/13.php?a=240610708

flag{bugku-dmsj-am9ls}

8.十六进制与数字比较

<?php
error_reporting(0);
function noother_says_correct($temp)
{
$flag = 'flag{test}';
$one = ord('1'); //ord — 返回字符的 ASCII 码值
$nine = ord('9'); //ord — 返回字符的 ASCII 码值
$number = '3735929054';
// Check all the input characters!
for ($i = 0; $i < strlen($number); $i++)
{
// Disallow all the digits!
$digit = ord($temp{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
// Aha, digit not allowed!
return "flase";
}
}
if($number == $temp)
return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>
关键代码:
if ( ($digit >= $one) && ($digit <= $nine) )
{
// Aha, digit not allowed!
return "flase";


关键代码

if($number == $temp)
return $flag;
}
$temp = $_GET['password'];


ord()函数返回字符串的首个字符的ASCII值。
ord()函数的介绍:http://www.w3school.com.cn/php/func_string_ord.asp
再看题目就可以知道只需要将3735929054转换成十六进制deadc0de(注意要加0x)
进制转换工具:http://tool.oschina.net/hexconvert/
构造:http://120.24.86.145:9009/20.php?password=0xdeadc0de

flag{Bugku-admin-ctfdaimash}


9.变量覆盖

点开题目是一张图片,哎,图片上有事代码,一看就发现了extract,由题目也知道这是一个变量覆盖,直接构造:http://120.24.86.145:9009/bianliang/?a=&b=

flag{num_test_administrator}

10.ereg正则%00截断

<?php
$flag = "xxx";
if (isset ($_GET['password']))
{
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
{
echo '

You password must be alphanumeric

';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置
{
die('Flag: ' . $flag);
}
else
{
echo('
- have not been found

');
}
}
else
{
echo '
Invalid password

';
}
}
?>


嗯,还是看代码
重点代码:

if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置
{
die('Flag: ' . $flag);

 

看代码一样就看到strpos()这个函数了,
if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置
{
die('Flag: ' . $flag);
分析一下直接就构造了http://120.24.86.145:9009/5.php?password[]=1

 flag{bugku-dm-sj-a12JH8}

11.strpos数组绕过

<?php
$flag = "flag";
if (isset ($_GET['ctf'])) {
if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)
echo '必须输入数字才行';
else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
die('Flag: '.$flag);
else
echo '骚年,继续努力吧啊~';
}
?>


嗯,做了这么多又有题目的提示,这里还是erge()函数和strpos()函数的漏洞,直接构造数组
构造:http://120.24.86.145:9009/15.php?ctf[]

flag{Bugku-D-M-S-J572}

12.数字验证绕过

<?php
error_reporting(0);
$flag = 'flag{test}';
if ("POST" == $_SERVER['REQUEST_METHOD'])
{
$password = $_POST['password'];
if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
{
echo 'flag';
exit;
}
while (TRUE)
{
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if (6 > preg_match_all($reg, $password, $arr))
break;
$c = 0;
$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字 [[:upper:]] 任何大写字母 [[:lower:]] 任何小写字母
foreach ($ps as $pt)
{
if (preg_match("/[[:$pt:]]+/", $password))
$c += 1;
}
if ($c < 3) break;
//>=3,必须包含四种类型三种与三种以上
if ("42" == $password) echo $flag;
else echo 'Wrong password';
exit;
}
}
?>


重点代码

if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
{
echo 'flag';
exit;


我是看到这个就直接构造的,结果就出来了233333

注意:就是传的值必须要小于12位,一般人也不会输入那么多,就是提示一下。

flag{Bugku_preg_match}


 

 

 

 

天跃
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Bugku代码审计
nzw1134864657的博客
10-14 185
strcmp比较字符串 strcmp(a1,a2)函数用来比较两个字符串是否相等的, 比较的是对应字符的ascii码,如果相等返回0, 当a1的ascii大于a2的返回小于0,a1的ascii码小于a2的,返回大于0. 但是这个函数是存在漏洞的,我们知道这个函数是用来比较字符串的, 但是当我们传入为数组是,那变成字符串和数组进行比较了, 因此php在5.2之前,默认返回的-1,5.2版本之后返回0...
bugku代码审计 wp
qq_42812036的博客
02-18 764
我这给出的是涉及到的陌生的知识点,结合链接文章中详细的源码和答案 https://blog.csdn.net/xiaorouji/article/details/82292233 extract变量覆盖 构造?flag=1&content=1 strcmp比较字符串 题目已经对strcmp函数有了解释: if (strcmp($_GET[‘a’], $flag) == 0) //如...
bugkuCTF Writeup (Web)26-29
Troublor的博客
01-28 3161
never give up 看源码,有提示 去看1p.html的源码 HTML> HEAD> SCRIPT LANGUAGE="Javascript"> <!-- var Words ="%3Cscript%3Ewindow.location.href%3D%27http%3A//www.bugku.com%27%3B%3C/script%3E%20%0A%3C%21--JTIyJ
BugKu WP 合集
Chmaz的博客
05-27 774
BugKu MISC&Crypto 题解合集
BugKuCTF------代码审计模块
qq_42133828的博客
03-20 1269
1.extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 分析代码可得知,ex...
ctf php正则截断,BugkuCTF—代码审计—WriteUp(持续更新)
weixin_29628635的博客
03-17 487
BugkuCTF—代码审计—WriteUp(持续更新)extract变量覆盖首先分析下代码:extract函数:image.png[http://123.206.87.240:9009/1.php](http://123.206.87.240:9009/1.php)$flag='xxx';extract($_GET);if(isset($shiyan)) //shiyan这个变量不能为空{$co...
Bugku之Crypto(前十部分WP
金 帛的博客
04-26 1066
Bugku密码题WP
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
bugkctf 代码审计.md
04-01
学习的笔记,方便平时查看,bugkct代码审计wp,可以将我自己的见解分享给大家,使大家少走点弯路
bugku杂项题writeup
11-22
bugku杂项题writeup
Android sp&wp 测试代码
11-09
总之,`Android sp&wp 测试代码`项目旨在帮助开发者理解SharedPreferences和WakeLock的底层实现,通过C语言的角度揭示Android系统的一部分工作原理。通过学习和实践,可以加深对Android系统如何管理数据存储和电源...
Bugku题目Crypto密码部分wp(持续更新)
最新发布
苦行僧的妖孽日常
11-02 624
Bugku题目Crypto密码部分
php extract 变量覆盖,extract变量覆盖
weixin_33273250的博客
03-10 945
Bugkuctf题库中的一道代码审计题,通过巧妙利用file_get_contents函数特性来绕过extract变量覆盖源代码如下:12345678910111213141516
PHP的变量问题
m0_62422842的博客
04-08 3539
php的变量问题是php代码审计中的一部分,相对php反序列化来说较为简单。再此总结一下这类相关内容
bugkuctf 代码审计
舞动的獾
07-01 229
extract覆盖 这道题首先给出了源码 <?php $flag='xxx'; extract($_GET); //变量覆盖 if(isset($shiyan)) //shiyan这个变量一定要存在,说白了不能的等于0. { $content=trim(file_get_contents($flag)); if($shiyan==$content) { ...
bugku题目的wp
zbbjya的博客
04-01 366
web 源代码 打开我输入的是 127.0.0.1 输入之后发现没有用 然后查看源代码我们会发现有些不一样的东西 有这个var1和var2 并且后面有eval(unescape(p1) + unescape(’%35%34%61%61%32’ + p2)); eval 是执行语句说明可能需要这样构造将可执行的语句获取出来 我们仔细看一下这个编码是url编码直接在hackbar里面就可以解 根据提示将其组合起来然后解密 %66%75%6e%63%74%69%6f%6e%20%63%68%65%63%6b%5
bugku-渗透测试1通关 wp
qq_45414878的博客
10-13 4929
bugku 渗透测试1 靶通关手册,祝你快速通关!
png文件格式的详解:
热门推荐
天跃
09-22 1万+
文件结构: PNG图像格式文件由文件署名和数据块(chunk)组成。 文件署名域: 8字节的PNG文件署名域用来识别该文件是不是PNG文件。该域的值是: 数据块: 这里有两种类型的数据块,一种是成为关键数据块(critical chunk),就是必须要有的块;另一种叫做辅助数据块(ancillary chunks)。 每个数据块都有下表所示的4个域组成。 其中CRC(cyc...
WP7程序开发入门指南
"wp7程序开发指南" 该资源是一本针对Windows Phone 7 (简称WP7)应用开发的入门指南,由Microsoft Press出版,适合初学者使用。由于市上专门针对WP7开发的书籍较为稀缺,因此这本书显得尤为珍贵。书中内容涵盖了WP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值