【CTF】PHP代码漏洞审计

最新推荐文章于 2023-03-20 20:48:57 发布
最新推荐文章于 2023-03-20 20:48:57 发布
阅读量633 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43934591/article/details/105713718
版权

1 变量覆盖漏洞

    extract造成的变量覆盖

      extract($array)的作用是将数组键名作为变量名,使用数组键值作为变量值。它存在一个安全漏洞,若使用函数默认参数,那么如果数组中的某个键值在php代码中的某个变量名相同,那么就会覆盖这个变量。
      例如:

<?php 
	$a=100
	$array=["a" => "Cat"]
	extract($array)
	echo $a
?>

      这里输出变量a的值不是100,而是“cat”,这是因为原来的变量$a被数组的变量覆盖了。

      题目:bugku extract变量覆盖
      这道题的本意是想覆盖flag的值,所以构造payload时,考虑输入flag和shiyan两个参数,使得shiyan和conten的值相同。这里补充:file_put_content(path)中的路径为空时,返回false;trim()中的值时bool类型、null时,返回null。所以修改flag,使得file_put_content函数返回false,因此content的值为null,所以shiyan的值要设置成空。所以payload可以如下:

?shiyan=&flag=
?shiyan=&flag=1
?shiyan=

      flag基本可以任意取,因为只要它是无效路径就可以了


2 弱类型漏洞

      1、普通转换: 字符串和数字比较时,会先转换成数字。数字开头的字符串,则直到第一个字母出现之前的数字符号转化成数字;开头不是数字的字符串,转换成0.
      题目:【bugku】 弱类型整数大小比较绕过
      组成字符串的前四位的数字大于1336,剩余位置包含非数字符号即可。

      2、0e转换: 字符串开头时0e,其它的字符全是数字符号时,在弱类型比较下,会先把字符串转化成0。例如:“0e1234” == 0 表达式的值是True。这种性质会被利用在绕过哈希函数比较里,因为哈希函数处理某些字符串时,返回的字符串开头是0e。

md5($string) 返回是0e开头的string有:
      QNKCDZO
      240610708
      s878926199a
      s155964671a

sha1($string) 返回是0e开头的string有:
      aaK1STfY
      aaO8zKZF


      题目:【bugku】md5加密相等绕过
      传入a的值是240610708即可

3 输入数组造成漏洞

    3.1 strcmp()

      strcmp(str1,str2)比较2个字符串的大小,相等就返回0。从php5.3开始,当传入函数的不是字符串而是数组时,尽管不相等,函数返回的值也是0。

      题目:【bugku】strcmp比较字符串
      把a作为数组传入即可

?a[]

    3.2 哈希函数

      哈希函数sha1()、md5()等传入的值是数组时,返回NULL。利用NULL===NULL绕过
      题目:【bugku】md5()函数
      传入2个不相等数组即可

    3.3 strpos()、ereg()、strlen()

      传入数组时,函数返回NULL。一般利用NULL!==FALSE来绕过
      题目:【bugku】strpos()数组绕过
      传入的值是数组即可。另外,ereg()还有%00截断的漏洞,%00后的字符不解析。

咸饼
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
bugku ctf 代码审计 extract变量覆盖
qq_42777804的博客
05-21 2551
<?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> extract() 函数从数组中将变量导入到当...
PHP密码问题陈婷代码_C99.PHP webshell 绕过登陆密码漏洞extract函数导致变量覆盖漏洞)...
weixin_39801879的博客
12-20 437
C99.php存在一个漏洞可以绕过登陆密码直接登陆的漏洞。http://127.0.0.1/c99.php?c99shcook[login]=0可直接登陆。漏洞原因是,错误的使用了extract()导致变量覆盖漏洞,即下面代码:@extract($_REQUEST["c99shcook"]);正好在验证登陆语句的前面,而验证登陆的代码为:if ($login) {if (empty($md5_pa...
BugKuCTF(CTF-练习平台)——代码审计-extract变量覆盖
Ifish的博客
04-26 5759
题目描述 解题 白话代码: 一个名叫flag的变量等于‘xxx’ 将通过GET传过来的数组转为一个名为数组名,值为数组值的变量(如果新的变量和已有变量重名,会将已有变量替换) 如果存在一个名叫shiyan的字符串 将flag变量的值赋给名为content变量 如果变量shiyan和变量content的值相同, 就输出flag的值 否则就输出Oh,no 因为extract...
PHP文件包含漏洞总结
坚持硬核
10-07 3234
首先,我们学习两个函数:require(string) include(string)这两个函数的作用是相同的, 就是将一个文件的内容包含在其所在的php代码中。 例如:我们写了一个1.txt文件放在服务器上,其内容为:<?php phpinfo()?> 当我们去请求这个页面的时候,自然而然,页面会原封不动的将这句话显示出来,那么有什么骚姿势可以让这句话作为php代码被解析呢? 嘿...
CTF-PHP审计
qq_53142368的博客
06-07 858
来一篇刷题的文章: PHP原生类 源码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1
网络安全+CTF+源码审计+O泡易支付V1.zip
11-19
在这个O泡易支付V1的案例中,参与者可能需要通过审计代码来识别可能的SQL注入、跨站脚本(XSS)、命令注入、信息泄漏等常见漏洞PHP是Web开发中广泛使用的服务器端脚本语言,但其灵活性也可能导致安全问题。例如...
你不知道的文件上传漏洞php代码分析
12-18
漏洞描述 开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。 文件处理一般包含两项功能,用户上传和展示文件,如上传头像。 文件上传攻击示例 upload.php <?php $uploaddir...
思维导图, 安全领域PHP代码审计;二进制漏洞分析;企业安全防御;渗透测试
06-30
PHP代码审计 powershell语法 python regrex python SQLMAP SQLMAP-2 SSRF vi vim2 W3af web安全 web前端知识框架 Web应用安全 XML安全汇总 XSS导图 安全思维导图 常见威胁 二进制漏洞分析脑图 企业安全防御 渗透测试...
[红日安全]代码审计Day3 - 实例化任意对象漏洞.pdf
09-20
本文主要探讨的是PHP代码审计中的一个重要主题:实例化任意对象漏洞。该漏洞通常发生在开发者允许用户输入控制类名或者构造函数参数的情况下,攻击者可能借此执行恶意操作,如文件包含、XXE攻击甚至命令执行。 首先...
CTF从入门到提升(一).docx
12-18
Web网络攻防是CTF的主要题型,题目涉及到许多常见的Web漏洞,如XSS、文件包含、代码执行、上传漏洞、SQL注入等。逆向工程主要包括了逆向工程中的常见题型、工具平台、解题思路。Pwn二进制漏洞利用主要考察二进制漏洞...
Ctfer训练计划】——命令执行的解题技巧(持续更新中)
Demo不是emo的博客
12-31 5630
ctf命令执行题型解题方法汇总(持续更新中)
buuctf13(perl脚本GET open命令漏洞&redis主从复制&xss&ssti关键字过滤绕过&csrf)
weixin_63231007的博客
02-27 1112
[HITCON 2017]SSRFme & [网鼎杯 2020 玄武组]SSRFMe & [GWCTF 2019]mypassword & [GWCTF 2019]你的名字& [GKCTF 2021]CheckBot
[CTF] 关于php代码审计的MD5类的练习
ZXW_NUDT的博客
12-03 2746
练习1 PHP代码: <?php error_reporting(0); highlight_file("pass-01.php"); if(isset($_GET["pass"])){ if($_GET["pass"] != hash("md4", $_GET["pass"])){ die('fail~~~'); }else{ echo "success!!!<br>";
ctf php代码审计 绕过,CTF代码审计之[HCTF 2018]WarmUp
weixin_32019577的博客
04-11 619
[HCTF 2018]WarmUp{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];if (! isset($page) || !is_string($page)) {echo "you can't see it";return f...
php extract 漏洞,PHP Zip Extract方法拒绝服务漏洞
weixin_39777404的博客
03-12 215
发布日期:2010-12-10更新日期:2010-12-10受影响系统:PHP PHP 5.3.3PHP PHP 5.3.2PHP PHP 5.3.1PHP PHP 5.3PHP PHP 5.2 - 5.3.2不受影响系统:PHP PHP 5.3.4PHP PHP 5.2.15描述:----------------------------------------------------------...
php常见漏洞分析(更新中)
weixin_51614272的博客
12-19 953
php常见漏洞分析 extract() 函数,变量覆盖 prase_str()函数,变量覆盖 变量隐式覆盖产生漏洞,不知道变量被覆盖了 弱类型变量(== 和 ===)、MD5碰撞 若php代码中出现==号判断,那么80%有漏洞php一个类型包含两个参数储存:type,value。 crc校验,每个文件有一个id,这个id就是MD5值。 MD5值有没有改变就是按照文件有没有损坏的证据。 一般判断的时候,是直接a==b判断,但是若MD5值本来不相等,但是 == 时相等,就会产生漏洞。 比如说MD5
php extract 漏洞,PHP ZipArchive::extractTo() Directory Traversal Vulnerability
weixin_39812186的博客
03-12 255
-----BEGIN PGP SIGNED MESSAGE-----Hash: SHA1SektionEins GmbHwww.sektioneins.de-= Security Advisory =-Advisory: PHP ZipArchive::extractTo() Directory Traversal VulnerabilityRelease Date: 2008/12/04Las...
ctfshow---文件包含
fainpo的博客
03-20 676
伪协议读取即可。
记一道CTF中的phar反序列化
qq_53886354的博客
08-14 2338
通过config的值去控制文件读写, 审计一下正则发现基本上把伪协议都过滤了, 直接new getflag也不行,这种情况下十六进制类名也绕不了,再仔细审计一下发现虽然phar伪协议没有作限制。这一块实在是没什么思路去绕过, 于是参考了一下xenny和atao两位师傅的wp, 此处用的是xenny师傅的思路, 修改文件内容 -> 签名修复 -> 文件上传。, 大致原理就是用其他的压缩格式再对phar文件进行压缩达到混淆的效果, 部分压缩格式混淆过的phar内容同样可以直接被phar://伪协议解析。....
CTF PHP代码注入
最新发布
07-15
CTF(Capture The Flag)竞赛中,常见的一个攻击技术是PHP代码注入(PHP Code Injection)。这种攻击利用了应用程序对用户输入的不充分验证和过滤,使得攻击者能够将恶意的PHP代码注入到应用程序中,从而执行任意代码或实施其他攻击。 以下是一些常见的PHP代码注入漏洞场景和防范措施: 1. 用户输入的直接执行:如果应用程序直接将用户输入作为PHP代码执行,而没有进行充分的验证和过滤,攻击者可以通过提交恶意代码来执行任意操作。防范措施是使用合适的输入验证和过滤,例如使用白名单来限制允许的操作或使用安全的函数来处理用户输入。 2. 变量覆盖:如果应用程序在解析用户输入时,没有正确处理变量覆盖的情况,攻击者可以通过构造特殊的输入来覆盖应用程序中的变量,并执行恶意操作。防范措施是在处理用户输入之前,将其赋值给新的变量,并确保不会被覆盖已有的变量。 3. 文件包含漏洞:如果应用程序在包含文件时没有进行充分的验证和过滤,攻击者可以通过构造特殊的文件路径来包含恶意的PHP代码文件。防范措施是使用白名单来限制允许包含的文件路径,并对用户输入进行适当的过滤和验证。 4. 数据库查询注入:虽然不是直接的PHP代码注入,但数据库查询注入漏洞可能导致执行恶意的SQL语句,从而进一步执行PHP代码。防范措施是使用参数化查询或预处理语句,避免直接将用户输入拼接到SQL查询中。 总之,要防范PHP代码注入漏洞,开发者应该始终进行充分的输入验证和过滤,使用安全的函数和方法处理用户输入,避免直接执行或拼接用户输入作为代码执行。同时,定期更新和修复应用程序中使用的框架、库和组件,以确保使用的是最新的安全版本。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值