php 过滤所有的空,PHP代码审计(绕过过滤的空白字符)

最新推荐文章于 2021-04-01 06:48:47 发布
最新推荐文章于 2021-04-01 06:48:47 发布
阅读量425 收藏
点赞数
文章标签: php 过滤所有的空

讨论一道代码审计题

3d7b0621bbe331c824f4a3b13cb32a0c.png

这里打开网页并查看源代码并没有发现有用的信息

c14ccb07b57d53a83ce4a20a2a59b417.png

查看他的HTTP头发现hint里有26966dc52e85af40f59b4fe73d8c323a.txt这个文件

打开获得源代码

$info = “”;

$req = [];

$flag=”xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx”;

ini_set(“display_error”, false); //为一个配置选项设置值

error_reporting(0); //关闭所有PHP错误报告

if(!isset($_GET[‘number’])){

header(“hint:26966dc52e85af40f59b4fe73d8c323a.txt”); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

die(“have a fun!!”); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) { //foreach 语法结构提供了遍历数组的简单方式

foreach($global_var as $key => $value) {

$value = trim($value); //trim — 去除字符串首尾处的空白字符(或者其他字符)

is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

}

}1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75<?php

$info = "";

$req = [];

$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

ini_set("display_error", false); //为一个配置选项设置值

error_reporting(0); //关闭所有PHP错误报告

if(!isset($_GET['number'])){

header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) { //foreach 语法结构提供了遍历数组的简单方式

foreach($global_var as $key => $value) {

$value = trim($value); //trim — 去除字符串首尾处的空白字符(或者其他字符)

is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

}

}

function is_palindrome_number($number) {

$number = strval($number); //strval — 获取变量的字符串值

$i = 0;

$j = strlen($number) - 1; //strlen — 获取字符串长度

while($i < $j) {

if($number[$i] !== $number[$j]) {

return false;

}

$i++;

$j--;

}

return true;

}

if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串

{

$info="sorry, you cann't input a number!";

}

elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值

{

$info = "number must be equal to it's integer!! ";

}

else

{

$value1 = intval($req["number"]);

$value2 = intval(strrev($req["number"]));

if($value1!=$value2){

$info="no, this is not a palindrome number!";

}

else

{

if(is_palindrome_number($req["number"])){

$info = "nice! {$value1} is a palindrome number!";

}

else

{

$info=$flag;

}

}

}

echo $info;

经过分析提交的数需要满足三个条件才能拿到flag:

1.is_numeric($_REQUEST['number'])$req['number']!=strval(intval($req['number'])is_numeric函数判断是否为数字 这两句要求提交的数不能是数字包括小数

2.if(intval($req["number"])!=$intval(strrev($req["number"])))这句的要求为该数的反转的整数值应该等于它本身的整数值即是一个回文数

3.is_palindrome_number($req["number"]))这句要求提交的数不是一个回文数

从要求的条件我们可以构造一个绕过第一个条件和第三个条件即可

is_numeric函数在开始判断前,会先跳过所有空白字符可是题目获取$req[‘number’]的时候明明使用trim过滤了空白字符这时候我们可以引入f(也就是%0c)在数字前面,来绕过最后那个is_palindrome_number函数,而对于前面的数字判断,因为intval和is_numeric都会忽略这个字符,所以不会影响。

所以我们构造payload=URL?%00%0c131即可绕过上面的条件获得flag

李民伟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
upload-labs Pass-03
weixin_48499033的博客
03-29 183
upload-labs Pass-03 先看源码 $is_upload = false; $msg = null; if (isset($_POST['submit'])) { if (file_exists(UPLOAD_PATH)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['upload_file']['name']); $file_n
php绕过过滤,网络渗透上传漏洞闯19关-第六关 绕过黑名单
weixin_39880150的博客
03-12 251
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".j...
php代码学习(二)绕过空白过滤
tutu123456789101112的博客
02-28 1432
&amp;lt;?php $info = &quot;&quot;; $req = []; $flag=&quot;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&quot;; ini_set(&quot;display_error&quot;, false); //为一个配置选项设置值 error_reporting(0); //关闭所有PHP错误报告 if(!isset($_GET['numb
PHP字符编码绕过漏洞总结
weixin_30535843的博客
08-22 270
其实这东西国内少数黑客早已知道,只不过没有共享公布而已。有些人是不愿共享,宁愿烂在地里,另外的一些则是用来牟利。 该漏洞最早2006年被国外用来讨论数据库字符集设为GBK时,0xbf27本身不是一个有效的GBK字符,但经过addslashes() 转换后 变为0xbf5c27,前面的0xbf5c是个有效的GBK字符,所以0xbf5c27会被当作一个字符0xbf5c和一个单引号来处...
3.[easy] Palindrome Number
qq_21058391的博客
07-04 214
Determine whether an integer is a palindrome. Do this without extra space. 判断是否是回文数 先不考虑使用额外间的问题 最直观的就是转换成字符串首尾比对 1.字符串解法 def is_palindrome(num): if num < 0: return False i = 0
总结下CTF中PHP中遇见的考点
weixin_30390075的博客
05-10 366
最近碰到的一些php的,比如说弱类型和变量覆盖和一些函数造成的问题,还有序列化反序列化和php伪协议, https://www.jianshu.com/p/fe158ab25120南京邮电CTF wp设计到挺多 比如弱类型有==的 和md5,array_search . 还有strcmp漏洞(数组绕过),ereg函数%00截断漏洞,变量覆盖的话有$$,extract()函数和parse_st...
【LeetCode】9. 回文数 Palindrome Number (PHP)
你的美失控了的博客
02-21 114
作者: 你的美失控了 本文关键词:LeetCode,力扣,算法,算法题,数学,回文数,PHP 来源:力扣(LeetCode) 目录 题目描述 代码 使用PHP写的代码如下 题目描述 给你一个整数 x ,如果 x 是一个回文整数,返回 true ;否则,返回 false 。 回文数是指正序(从左向右)和倒序(从右向左)读都是一样的整数。例如,121 是回文,而 123 不是。 示例1: 输入:x = 121 输出:true 示例2: 输入:x = -121 输出:f...
php get请求_ctf中关于php伪协议的考查
weixin_39928003的博客
11-30 499
原创:Archerx 合天智汇1php://input协议第一个例子flag.php<?php$flag = 'flag{flag_is_here}'; test1.php<?phpinclude('flag.php');$a= $_GET["a"];if(isset($a)&&(file_get_contents($a,'r'))=== 'this is tes...
9. Palindrome Number题目和答案详解
Disappear_XueChao的博客
11-30 521
1 题目简述 Determine whether an integer is a palindrome. Do this withoutextra space. 判断一个整数是否为回文。这样做没有多余的间。   Could negative integers be palindromes? (ie, -1) 负数是否是回文数?(ie,-1)   If you are thinkin
ctf题php反序列化,从一道CTF题中学习php反序列化与伪协议
weixin_39927214的博客
04-01 1793
之前一直有想写关于反序列化的东西,可是一直拖拖拖,拖到了现在。本文尝试从ZJCTF2019中的例题来了解何为php反序列,以及php伪协议。原题:逆转思维1234567891011121314151617181920$text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&am...
校赛writeup
热门推荐
Ni9htMar3的博客
12-26 1万+
第一届校赛 WEB MISC RE Crypto
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6305
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2535
1.弱类型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
LeetCode:判断字符串是否回文(Palindrome Number
啃梨的博客
08-18 587
8.判断字符串是否回文(Palindrome Number) 例子1: Input: 121 Output: true 例子 2: Input: -121 Output: false 说明:从左到右,它显示为-121。 从右到左,它变成121-。 因此它不是回文。 例子3: Input: 10 Output: false 说明:从右到左读取01。 因此它不是回文。  ...
数组——reverse integer和 palindrome-number
jingsuwen1的博客
05-17 379
判断一个数字是否是回文数字。 方法一:用字符串的方法,StringBuilder 中的reverse()方法。 public boolean isPalindrome(int x) { String number=String.valueOf(x); StringBuilder sb=new StringBuilder(number); if(
Palindrome Number【判断一个数是不是回文】
Sim0Hayha的博客
07-11 394
PROBLEM:Determine whether an integer is a palindrome. Do this without extra space.SOLVE(C++):class Solution { public: bool isPalindrome(int x) { if(x&lt;0||(x%10==0&amp;&amp;x!=0)) ...
leetcode 9. Palindrome Number
Broken Wings
02-27 308
判断一个数是否为回文数,直接循环判断 class Solution(object): def isPalindrome(self, x): """ :type x: int :rtype: bool """ s = str(x) lenS = len(s) f
LeetCode 9: Palindrome Number
哈哈的个人专栏
06-01 3491
Determine whether an integer is a palindrome. Do this without extra space.本题是判断一个数是否是回文数。代码如下:bool isPalindrome(int x) { int max = x; int min = 0; while(max &gt;0){ min...
PHP代码审计:代码执行漏洞深度剖析
//`绕过限制。 1.1-2---优先执行${} 在双引号中,`${}`内的变量会被解析,这可能导致代码执行。以下是一些利用此特性的例子: 案例1: ```php <?php $data=$_GET['data']; eval("\$ret=strtolower('$data');"); ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值