PHP-Audit-Labs第一阶段学习总结

最新推荐文章于 2024-09-11 13:41:53 发布
最新推荐文章于 2024-09-11 13:41:53 发布
阅读量1.9k 收藏 2
点赞数 2
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44599080/article/details/104114858
版权
本文是作者对PHP-Audit-Labs第一阶段学习的总结,详细介绍了在审计过程中发现的各种安全漏洞,包括文件上传、XSS、命令执行、SQL注入等,并提供了攻击示例,展示了如何利用这些漏洞。
摘要由CSDN通过智能技术生成

目录


由于篇幅原因,源码详见 GITHUB源码链接。同时在这感谢红日安全的分享。因为笔者还是个菜鸡,所以有些地方难免有些错误,请各大佬斧正。同时本篇总结以代码审计为主,部分可能会弱化具体的攻击方法

DAY 1

程序本质 文件上传
漏洞本质 函数缺陷导致的任意文件上传漏洞
缺陷函数 in_array函数
攻击类型 绕过检验

众所周知,php是弱类型语言,当未将in_array函数第三个参数设置为true时,默认进行宽松比较。所以函数在执行搜索项时,会将搜索值强制转换成数字类型。漏洞即在此产生。

攻击:
当我们创建一个文件名首数字为1-24之间的文件。即可通过in_array函数判断,导致任意文件上传漏洞。例:7shell.php

DAY 2

程序本质 用twig模板的点击获得传入链接程序
漏洞本质 函数缺陷导致的xss漏洞
缺陷函数 filter_var函数
攻击类型 绕过检验

程序采取了两种过滤:

  1. Twig模板中的escape过滤。关于过滤详见:Twig中文文档
    这里面有一句话:Internally, escape uses the PHP native htmlspecialchars_ function for the HTML escaping strategy.
    意思是使用htmlspecialchars函数。即转义特殊字符为实体

  2. get传入的值用filter_var函数过滤。 这里设置的参数为FILTER_VALIDATE_URL。即这里判断传入的是否是url。如果成功,返回已过滤的数据,失败返回false。(伪协议可以绕过此过滤)

针对这两种过滤,思路是使用不带特殊字符的xss payload。考虑伪协议绕过

攻击:

payload:?nextSlide=javascript://comment%250aalert(1)

使用js伪协议确保代码无特殊字符不会被转义,且可以绕过filter_var函数的检验。//是单行注释,注释掉后面的内容,再使用%250a——编码%后的%0a,对代码换行。//注释不掉攻击代码,构成xss漏洞,这时只需点击< a > 标签中的链接Next slide即可触发。

DAY 3

程序本质 检测是否存在某种控制器(类)
漏洞本质 用户可以操纵可控变量 / 函数缺陷导致的文件包含漏洞
缺陷函数 class_exists函数
攻击类型 绕过检验

本程序含两个漏洞:

  1. 用户可以操纵可控变量
    很不幸,在本程序中,实例化类的类名,与参数均在用户的控制中。我们可以构造任意危险函数来攻击程序,例如xxe攻击,命令执行攻击(前提是安装了PHP拓展插件expect)
  2. 函数缺陷导致的文件包含漏洞
    class_exists函数在默认情况下,如果程序中含有__autoload函数,会自动加载。很不巧,文件包含漏洞就出现在此了。我们控制类名为路径。即可使用路径穿越包含任意文件。构成文件包含漏洞

DAY 4

程序本质 带过滤的用户登陆
最低0.47元/天 解锁文章
努力学习的警校生一枚
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP-Audit-Labs学习
heySister
12-10 1711
Day1 这个讲到的是in_array() 这个函数的一个错误使用导致的过滤不严格问题。 in_array() 函数的第三个函数是配置是否进行强匹配的,很多情况下使用者都会忽略第三个参数,从而只进行弱匹配。 一般用来限定输入只能是数组中的几个数值,但是当我们输入的是字符串的时候,由于是判断是否在一个数字数组中,所以会强制类型转换为数字。只要我们保证强制类型转换后的结果在数组中就可以了,这样就可以绕...
探索PHP安全的宝库:PHP-Audit-Labs
gitblog_00097的博客
05-13 366
探索PHP安全的宝库:PHP-Audit-Labs 项目地址:https://gitcode.com/hongriSec/PHP-Audit-Labs 在这个充满挑战的时代,开发者们不断追寻着代码的安全性。PHP-Audit-Labs,由红日安全-代码审计小组精心打造,正是这样一个专为学习和提升代码审计技能的开源项目。它不仅提供了详尽的分析教程,还有实战性质的CTF靶场,让你在学习中积累经验,成为...
PHP-Audit-Labs Day1:in_array函数缺陷
0xdawn的博客
06-23 764
in_array() 函数 函数介绍 in_array() 函数搜索数组中是否存在指定的值。 in_array(search,array,type) 参数 描述 search 必需。规定要在数组搜索的值。 array 必需。规定要搜索的数组。 type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 如果search参数是字符串且type参数被设置为TRUE,则搜索区分大小写且检查数据类型。 in_array绕过 class Challenge{
php-labs:用php编写的实验室可提高分析和测试驱动的开发技能
05-18
php实验室 用php编写的实验室可提高分析和测试驱动的开发技能
PHP-Audit-Labs-Day1 - in_array函数缺陷
qq_43335965的博客
08-02 34
函数缺陷原理分析 先看一段简单的源代码 class Challenge{ const UPLOAD_DIRECTORY = './solutions/'; private $file; private $whitelist; public function __construct($file) { $this->file = $fi...
[红日安全]代码审计Day1 - in_array函数缺陷
hongrisec的博客
03-09 413
本文由红日安全成员: 七月火 编写,如有不当,还望斧正。 前言 大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并结...
PHP ctf addslashes,[红日安全]代码审计Day13 - 特定场合下addslashes函数的绕过
weixin_33631836的博客
03-17 730
本文由红日安全成员: l1nk3r 编写,如有不当,还望斧正。前言大家好,我们是红日安全-代码审计小组。最近我们小组正在做一个PHP代码审计的项目,供大家学习交流,我们给这个项目起了一个名字叫 PHP-Audit-Labs 。现在大家所看到的系列文章,属于项目 第一阶段 的内容,本阶段的内容题目均来自 PHP SECURITY CALENDAR 2017 。对于每一道题目,我们均给出对应的分析,并...
[红日安全]代码审计Day5 - escapeshellarg与escapeshellcmd使用不当
hongrisec的博客
03-31 748
点击订阅我们    和红日一起成长 让安全如此精彩   红日安全出品|转载请注明来源 文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全) 本文由红日安全成员: l1nk3r...
代码审计—红日安全day1,in_array()和make_set函数
negnegil的博客
06-10 422
红日安全代码审计——day1 地址:https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day1/files/README.md in_array()函数的缺陷 先来看看in_array()的定义: in_array — 检查数组中是否存在某个值 in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) : bool 大海捞针,在大海(haystack)
渗透测试练习靶场汇总
热门推荐
Thunderclap的博客
07-01 1万+
渗透测试 练习常用靶场汇总
快速失败 (fail-fast) 和安全失败 (fail-safe)
Flying_Fish_roe的博客
09-07 761
快速失败是一种系统设计原则,当系统遇到异常情况或错误时,立即停止执行并返回错误,而不是试图继续执行或处理潜在的问题。快速失败系统会主动检测系统中的问题,并尽早报告错误,以防止错误进一步传播或导致更大的问题。在快速失败系统中,当检测到某些异常条件或不一致时,系统立即抛出异常或错误,停止当前操作并通知用户或开发者。这种机制通常用于防止错误堆积,使得系统可以快速恢复到正常状态,并尽早解决问题。快速失败的核心思想是“及早报告、及早修复”。通过尽早暴露错误,开发者能够更容易地定位问题,减少问题在系统中的蔓延。
网站安全需求分析与安全保护工程
weixin_49171105的博客
09-09 540
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
SSHamble:一款针对SSH技术安全的研究与分析工具
最新发布
FreeBuf_的博客
09-11 630
SSHamble是一款功能强大的SSH技术安全分析与研究工具,该工具基于Go语言开发,可以帮助广大研究人员更好地分析SSH相关的安全技术与缺陷问题。
智能对决:提示词攻防中的AI安全博弈
weixin_41496173的博客
09-05 909
在2024年上海AIGC开发者大会上,知名提示词爱好者工程师云中嘉树发表了关于**AI提示词攻防与安全博弈**的精彩演讲。他深入探讨了当前AI产品的安全现状,提示词攻击的常见手段及其应对策略。本文将对他的演讲进行详细的解读与分析,并结合实际案例和技术手段,探讨如何在AI应用开发中提高安全性。
消防指挥中心控制台:守护安全的关键枢纽
JiaDeLi_console的博客
09-11 139
它不仅是信息的接收者,更是行动的发起者,协调各方资源,确保消防救援工作高效、有序地进行。消防指挥中心控制台是消防救援工作的关键环节,它以先进的设计、强大的功能和不断升级的科技,为守护人民生命财产安全发挥着不可替代的作用。在未来,随着科技的进一步发展,相信消防指挥中心控制台将变得更加智能、高效,为构建更加安全的社会环境贡献更大的力量。同时,控制台还配备了舒适的座椅,为指挥人员提供良好的工作条件。在消防应急救援的战场上,嘉德立消防指挥中心控制台犹如一座坚实的堡垒,发挥着至关重要的作用。二、先进的设计与功能。
Java安全-动态加载字节码
柠檬i的博客
09-07 1144
众所周知,不同平台、不通CPU的计算机指令有差异,但因为Java是一门跨平台的编译型语言,所以这些差异对于上层开发者来说是透明的,上层开发者只需要将自己的代码编译一次,即可运行在不同平台的JVM虚拟机中。
【中国国际航空-注册/登录安全分析报告】
09-07 1739
中国国际航空公司联合中国航空总公司和中国西南航空公司,成立了中国航空集团公司,作为航空领域的翘楚,依托国有资源,技术实力雄厚, 人才济济,在吸取了同行滑动验证码的经验后,自己研发了独特风格的那个验证码, 从逆向代码来看, 不仅借鉴了同行的技术原理,还在防抓取上下了功夫,防模拟器鼠标,物理鼠标和逻辑鼠标定位不一致判断措施,解决思路为让JS 这部分代码失效或这采用 物理定位鼠标的部分,目前采用的是物理鼠标的方式。
mysql-audit-1.1.12 编译
05-26
1. 下载 mysql-audit-1.1.12 源码包,解压缩。 2. 进入 mysql-audit-1.1.12 目录,执行以下命令生成 configure 脚本: ```sh autoreconf -i ``` 3. 执行 configure 脚本,生成 Makefile 文件: ```sh ./...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值