php代码审计分段学习(php_bug)[1]

参考:https://github.com/bowu678/php_bugs

1.extract变量覆盖

看extract变量覆盖这个的时候,代码里面出现了trim这个函数,就查了一下用法,说是去掉字符串开头和结尾的换行符或者是空格,还可以去掉不想出现的字符串。要说起来这个函数还是挺好理解的。就比如说最后一个吧,heordw,先从首开始看,到l的时候想去掉的字符串里面没有,所以到l的时候不再去掉任何字符,然后从尾往前看,是和首同样的道理

$str="helloeorldhelloworld";

echo trim($str,"herl");//oeorldhelloworld

echo trim($str,"heorld");//w

$str="helloeorlwdhelloworod";

echo trim($str,"heordw");//lloeorlwdhell


file_get_contents($flag)//若是$flag的内容为字符串直接返回为空,若是txt的话能打开里面的内容。

extract($_GET)这个函数可以判断是get提交还是post提交,当为get提交时可以url中可以这样使用http://localhost/php/extract1.php?flag&shiyan  #flag和shiyan是php中的两个变量。在extract()中,若是在url中有给变量赋值,则原本这个变量的值会被替换。可以预防被覆盖的方法是在php.ini这个文件中有register_globals这个变量的话将它改为off就行了,可能php版本问题,我的文件中没有这个变量。。。可能这个bug还是挺有用的。。


2.绕过过滤的空白字符


php代码审计分段学习(php_bug)[1]

首先is_numeric这个函数要求的是为数字字符串,所以要想跳过这个函数可以加字母或者加一些编码后的符号。

然后$req['number']==strval(intval($req['number']))这个是要求输入的字符串取整和原本字符串相等,但是取整的时候若是有字母或是特殊字符直接截断了,若是构造这个数字100.000000000000010可以跳过这个函数,但是最开始的条件就跳不过了,若是在后面加上字母什么的可以跳过第一个,但是传入的字符串是存到数组中的,所以自己不会发生溢出情况。

$number[$i] !== $number[$j],后面的这个函数就容易实现了%00%0c191,%0c是\f的转义字符,%00的ascii值是0,后面的数字可以任意写,%00为截断,不能省略。

php代码审计分段学习(php_bug)[1]

3.多重加密

这是题目给的加密方式


php代码审计分段学习(php_bug)[1]

这是根据题目写出的解密方式


php代码审计分段学习(php_bug)[1]

4.SQL注入_WITH ROLLUP绕过(实验吧 因缺思汀的绕过)

$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";这个是不能使用的单词。

mysql_num_rows($query) == 1//这个是要求函数返回结果集中行的数目必须为1

$key['pwd'] == $_POST['pwd']这个则是要求了提交的密码与数据库中的密码相等才能输出flag

当用rollup这个语句的时候,会在数据库的最后一行生成一个密码为NULL的字段


php代码审计分段学习(php_bug)[1]

用下面这个payload

' or 1=1 group by pwd with rollup limit 1 offset 2 #

这样查询语句就会变成

SELECT * FROM interest WHERE uname = ' ' or 1=1 group by pwd with rollup limit 1 offset 2 #

group by pwd with rollup 这个可以在数据库中添加一行pwd为NULL的数据,limit 1是之查询一行,offset 2这个数字可以换,不同的数字出现的是不同行的内容。


5.ereg正则%00截断

ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE //这个函数要求输入的密码只能是大小写字母和数字

strlen($_GET['password']) < 8 && $_GET['password'] > 9999999这个要求了输入的密码长度小于8但是还得大于9999999,可以使用科学计数法表示,计算器或电脑表达10的的幂是一般是e

strpos ($_GET['password'], '*-*') !== FALSE,strpos函数是查找后面的字符串在前面的字符串出现的位置,所以输入的密码中还得有*-*,但是前面的ereg函数过滤了特殊字符,这时候可以用ereg%00截断这个bug,ereg读到%00的时候,就截止了,所以1e9%00*-*就可以。


6.strcmp比较字符串

strcmp($_GET['a'], $flag) == 0// 参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;只有两者相等,才返回 0。

strcmp只会处理字符串参数,如果给个数组的话,就会返回NULL,而判断使用是==,NULL==0是bool(true),所以构造这个函数a[]=1就行了。


7.sha1()函数比较绕过

$_GET['name'] == $_GET['password'])//若是传入的两个参数不同才能绕过这个函数

sha1($_GET['name']) === sha1($_GET['password'])

sha1()函数默认的传入参数类型是字符串型,要是给它传入数组会出现错误,使sha1()函数返回错误,也就是返回false,这样一来===运算符就可以发挥作用了,需要构造username和password既不相等,又同样是数组类型

构造?name[]=1&password[]=12这样可以绕过


8.SESSION验证绕过

$_GET['password'] == $_SESSION['password']//在这个函数中,需要让提交的密码和session这个相等

?password=这样构建并把cookie清空,刚开始我以为isset会把这个空的过滤掉,但虽然是空也没过滤。


9.密码md5比较绕过$pass = md5($_POST[pass]);

$row = mysql_fetch_array($query, MYSQL_ASSOC);

 ($row[pw]) && (!strcasecmp($pass, $row[pw]))//这个就是构建一个数值和它的md5密码值


?user=' union select '202cb962ac59075b964b07152d234b70' #&pass=123


php代码审计分段学习(php_bug)[1]

10.urldecode二次编码绕过

eregi("hackerDJ",$_GET['id']

$_GET[id] = urldecode($_GET['id']);

$_GET[id] == "hackerDJ"

这段代码是首先先匹配输入的值是否和hackerDJ相等,若是不等才可以继续下面的解码再让相等才可以,所以直接其中的一个字母编码两次就可以了。不知道为什么在php代码或者找的网站中都不能编码只能解码,所以看了原题目的wp。。不知道什么原因就是不能编码有点难受。。

http://localhost/php_bug/10.php/?id=%2568ackerDJ

上一篇:Data Lake Analytics-数据分析时代迎来新变革


下一篇:KVM虚拟化实战精讲[第二章 安装KVM]