php_bugs代码审计(二)

最新推荐文章于 2022-08-11 18:10:06 发布
最新推荐文章于 2022-08-11 18:10:06 发布
阅读量879 收藏 1
点赞数
分类专栏: php代码审计 文章标签: php 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_Caleb/article/details/104183505
版权
本文详细介绍了PHP代码审计中的多种漏洞利用方式,包括SQL注入注释外包和OR绕过、MD5函数的数组绕过、ereg与strpos函数的NULL绕过、弱类型比较的漏洞利用等。通过具体的payload示例,阐述了如何利用这些技巧来绕过代码验证和安全措施。
摘要由CSDN通过智能技术生成

16、SQL注入注释外包’及or绕过

<?php
#GOAL: login as admin,then get the flag;
error_reporting(0);
require 'db.inc.php';
 
function clean($str){
   
	if(get_magic_quotes_gpc()){
   
		$str=stripslashes($str);
	}
	return htmlentities($str, ENT_QUOTES);
}
 
$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);
 
$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
   
	die('Invalid password!');
}
 
echo $flag;
?>

目标! r e s u l t ∣ ∣ m y s q l _ n u m _ r o w s ( result || mysql\_num\_rows( resultmysql_num_rows(result) < 1为真,并没有对内容进行检测,不需要是admin也行
几个函数提一下:

  • get_magic_quotes_gpc,获取当前php.ini中的magic_quotes_gpc 的配置(on/off)。如果 magic_quotes_gpc 为off时返回 0,否则返回 1。在 PHP 5.4.0 起将始终返回 FALSE。 magic_quotes_gpc是一种转义配置,所有的 ’ (单引号)、" (双引号)、\(反斜杠)和 NUL’s 被一个反斜杠自动转义。
  • stripslashes,去掉反斜杠
语法
stripslashes(string)

例:echo stripslashes("Who\'s Bill Gates?");
运行结果:Who's Bill Gates?

echo stripslashes("Who\\'s Bill Gates?");
运行结果:Who's Bill Gates?

echo stripslashes("Who\\\'s Bill Gates?");
运行结果:Who\'s Bill Gates?
  • htmlentities,把字符转换为 HTML 实体。ENT_QUOTES是转换双引号和单引号,单引号被转换为&#039;

也就是说,参数可能被去掉\,但是单引号和双引号一定会被html实体化,所以参数不能有单引号和双引号,而现今版本的php,get_magic_quotes_gpc是被废掉的

php中查询语句:
SELECT * FROM users WHERE name=’’.KaTeX parse error: Can't use function '\'' in math mode at position 11: username.'\̲'̲ AND pass=\''.password.’’;
sql中也就是
SELECT * FROM users WHERE name=‘username’ AND pass=‘password’;
参数的单引号是拼接上去的,而我们输入单引号就会被html实体化(虽然在页面上显示的仍然是单引号)

payload:
?username=\&password= or 1%23

形成查询语句:SELECT * FROM users WHERE name=’\’ AND pass=’ or 1%23’
也就是PHP语句的name后面的单引号被转义
这样最后的单引号被注释了,因为有个单引号被转义,所以name就是’AND pass =,or 1之后就为true。

17

这个跟9重复了

18、md5()函数===使用数组绕过

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
   
    if ($_GET['username'] == $_GET['password'])
        print 'Your password can not be your username.';
    else
最低0.47元/天 解锁文章
大千SS
关注
专栏目录
PHP的威胁函数与PHP代码审计实战
悦分享
07-09 401
不少代码审计者拿到代码就看,他们忽视了“安全是一个总体”,代码安全不少的其余因素有关系,好比上面咱们谈到的PHP版本的问题,比较重要的还有 操做系统类型(主要是两大阵营win/*nix),WEB服务端软件(主要是iis/apache两大类型)等因素。下面列举一些经常使用的函数,也就是下文说的字典(暂略)。咱们面对不少工具以及大牛扫描过n遍的代码,有不少的安全人员有点悲观,而有的官方安全人员也很是的放心本身的代码,可是不要忘记了“没有绝对的安全”,咱们应该去寻找新的途径挖掘新的漏洞。“一切输入都是有害的”。
代码审计
adislj007的博客
09-27 3582
后话:本来写了一篇分析在csdn,不小心关掉就没了,无奈,只好copy到博客园,写了一上午,醉了   两大审计的基本方法 1. 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑可以是一个函数,或者是条小小的条件判断语句。 2. 根据不同编程语言的特性,及其历史上经常产生漏洞的一些函数,功能,把这些点找出来,在分析函数调用时的参数,如果参数是用户可控,就很有可
php_bugs(php代码审计基础)
欢迎光临
03-16 1224
前言 以下都是以下代码审计的一些基础漏洞,适合新手学习~ extract 变量覆盖 extract(array,extract_rules,prefix) 该函数使用数组键名作为变量名,使用数组键值作为变量值。但是当变量中有同名的元素时,该函数默认将原有的值给覆盖掉。这就造成了变量覆盖漏洞。 &lt;?php $flag='xxx'; extract($_GET); if(isset($shi...
php bugs
cnbird's blog
12-30 752
php bugs
代码审计基础php_bugs
quan9i的博客
08-11 1290
代码审计不会,学习知识需要积累一下基础,因此来搭建php_bugs进行相关学习,题解如下,希望能对在学习代码审计的师傅们有所帮助。
php代码审计分段学习(php_bug)[2]
weixin_33701564的博客
03-12 145
参考:https://github.com/bowu678/php_bugs 11.sql闭合绕过 $sql = "select user from php where (user='$user') and (pw='$pass')";嗯好吧这个不就是sqli-labs的Less-3么,放下writeup好了...
ctfshow web入门命令执行部分(更新至56)
L1ni01
10-16 3565
ctfshow web 入门 命令执行部分 web29 源码 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } payload:c=system('cat f*'); 匹配任何字符串/文本,包括空字符串;
bugs_hunter_1.0.2.1
07-26
Bugs Hunter 1.0.2.1:PHP代码审计与漏洞挖掘工具解析》 在信息化社会,软件安全已经成为企业关注的焦点,尤其是对于基于PHP语言开发的应用程序。"Bugs Hunter 1.0.2.1"是一款专为PHP代码审计而设计的工具,旨在...
【攻防世界】 --- favorite_number --- php代码审计
qq_43168364的博客
01-02 999
题目 — favorite_number 一、writeup 、知识点
CTFshow_命令执行
qq_45927819的博客
11-20 1298
文章目录web29 web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag get方式传参: ?c=system(ls); 发现flag.php 直接查看就行: ?c=system('cat ')
1.30 刷题
Lumos427的博客
01-30 735
ctfshow web入门 命令执行 web37 //flag in flag.php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ include($c); echo $flag; } }else{ highlight_file(__FILE__); } 这里用了include文件包含,代码不能直接执行
CTFSHOW-命令执行
Monica的博客
09-03 4233
WEB29 题目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:题目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
ctfshow-web39(命令执行)
m0_62094846的博客
01-22 413
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-04 00:12:34 # @Last Modified by: h1xa # @Last Modified time: 2020-09-04 06:13:21 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ //flag in flag.php error_reporting(0); if(i..
php 绕过 正则,数字验证正则绕过
weixin_36372094的博客
03-23 1039
Bugkuctf题库中的一道代码审计题,通过利用各种正则匹配函数特性最终得到flag源代码如下:12345678910111213141516171819202122232425262728293031
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
热门推荐
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
form action中get \post传递参数的问题
一只苟延残喘的卑微蝼蚁
02-12 2713
&lt;form action="servlet/ThirdServlet?userName=1&amp;passWord=2" method="post"&gt; 姓名&lt;input type="text" name="uesrName"&gt;&lt;br&gt; 密码&lt;input type="text
CTF中遇到的php
dfhz2014的博客
07-26 694
1.if(eregi("hackerDJ",$_GET[id])) { //eregi字符串对比 echo("<p>not allowed!</p>"); exit(); 2.isset 判断变量是否定义过 3.比较符 $a==$b 松散比较 === 完全等于 = 大于等于 != 如果...
CTF-PHP代码审计,正则表达式记录
江湖
06-08 5934
1.flag In the variable ! &lt;?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ ...
BugkuCTF(代码审计) WriteUp
CallMeSa1tyFish的博客
08-06 3728
代码审计部分 extract变量覆盖 题目 &amp;amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; }else{ ...
Java静态分析工具findB.zip_Bugs_findB用于发现Java程序中的缺陷
资源摘要信息:"findb.zip_Bugs_findB_static analysis" 1. 静态分析工具findb简介 该文件标题中的"findb.zip_Bugs_findB_static analysis"揭示了该压缩包内含工具的名称为"findB",它是一个专门用于静态分析Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值