php bugs代码审计基础详解
w350809090 人气:0变量覆盖漏洞
<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag)); //将读取$flag内容并去除左右空白后保存到$content
if($shiyan==$content)
{
echo'ctf{xxx}';
}
else
{
echo'Oh.no';
}
}
?>重要点为$shiyan==$content只要满足这个条件就可以获取flag。
首先extract()函数的作用为从数组将变量导入到当前符号表,也就是说我们如果构造
xxx.com/index.php?$shiyan=1则会生成一个名字为$shiyan的变量,值为1。
然后通过isset函数来判断刚生成的$shiyan变量是否为null,如果为null就进入判断。
$content变量则是通过file_get_contents函数和trim函数来读取文件,但是此时它所读取的文件$flag值为xxx,此时这个目录是不存在的,所以它的值为空。
所以我们此时要做的就是将$shiyan的值变为空即可。
所以构造链接xxx.com/index.php?$shiyan=&flag=1即可获得ctf{xxx}
绕过过滤空白字符
<?php
$info = "";
$req = [];
$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
ini_set("display_error", false); //为一个配置选项设置值
error_reporting(0); //关闭所有PHP错误报告
if(!isset($_GET['number'])){
header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt
die("have a fun!!"); //die — 等同于 exit()
}
foreach([$_GET, $_POST] as $global_var) { //foreach 语法结构提供了遍历数组的简单方式
foreach($global_var as $key => $value) {
$value = trim($value); //trim — 去除字符串首尾处的空白字符(或者其他字符)
is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串
}
}
function is_palindrome_number($number) {
$number = strval($number); //strval — 获取变量的字符串值
$i = 0;
$j = strlen($number) - 1; //strlen — 获取字符串长度
while($i < $j) {
if($number[$i] !== $number[$j]) {
return false;
}
$i++;
$j--;
}
return true;
}
if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串
{
$info="sorry, you cann't input a number!";
}
elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值
{
$info = "number must be equal to it's integer!! ";
}
else
{
$value1 = intval($req["number"]);
$value2 = intval(strrev($req["number"]));
if($value1!=$value2){
$info="no, this is not a palindrome number!";
}
else
{
if(is_palindrome_number($req["number"])){
$info = "nice! {$value1} is a palindrome number!";
}
else
{
$info=$flag;
}
}
}
echo $info;根据代码判断,它需要满足多个条件才可以执行$info=$flag;之后echo出来的才是flag。
if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串
{
$info="sorry, you cann't input a number!";
}先来看看第一个条件,它要求number参数传入的内容不能为数字,否则返回sorry, you cann't input a number!
但是它的第二个要求为数字必须为整数,否则输出number must be equal to it's integer!!
elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值
{
$info = "number must be equal to it's integer!! ";
} 导致我们输入字符串也会报错
这里我们用到%00来绕过is_numeric函数的判断。
根据报错,再来看看$value1,它是$req["number"]的整数值,$value2则为反转之后的$req["number"]的整数值。
$value1 = intval($req["number"]);
$value2 = intval(strrev($req["number"]));
if($value1!=$value2){
$info="no, this is not a palindrome number!";
}
所以第三步要满足的条件为,它必须为回文数即从左往右和从右往左读取都要相同的数值,所以我们构造如下
以上三个条件都满足后,接下来看看最后一个条件
if(is_palindrome_number($req["number"])){
$info = "nice! {$value1} is a palindrome number!";
}
else
{
$info=$flag;
}
这里调用了is_palindrome_number()函数,我们看看函数内容
function is_palindrome_number($number) {
$number = strval($number); //strval — 获取变量的字符串值
$i = 0;
$j = strlen($number) - 1; //strlen — 获取字符串长度
while($i < $j) {
if($number[$i] !== $number[$j]) {
return false;
}
$i++;
$j--;
}
return true;
}
可以看到这里函数的作用是判断数字是否是对称的,我们的要求是让它执行return false来执行$info=$flag;所以这里想到的是在数字前加字符串+字符串+在is_numeric中是被无视的,也就是说+100与100相等。
所以我们构造%00%2b454即可
多重加密
<?php
include 'common.php';
$requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
//把一个或多个数组合并为一个数组
class db
{
public $where;
function __wakeup()
{
if(!empty($this->where))
{
$this->select($this->where);
}
}
function select($where)
{
$sql = mysql_query('select * from user where '.$where);
//函数执行一条 MySQL 查询。
return @mysql_fetch_array($sql);
//从结果集中取得一行作为关联数组,或数字数组,或二者兼有返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false
}
}
if(isset($requset['token']))
//测试变量是否已经配置。若变量已存在则返回 true 值。其它情形返回 false 值。
{
$login = unserialize(gzuncompress(base64_decode($requset['token'])));
//gzuncompress:进行字符串压缩
//unserialize: 将已序列化的字符串还原回 PHP 的值
$db = new db();
$row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
//mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
if($login['user'] === 'ichunqiu')
{
echo $flag;
}else if($row['pass'] !== $login['pass']){
echo 'unserialize injection!!';
}else{
echo "(╯‵□′)╯︵┴─┴ ";
}
}else{
header('Location: index.php?error=1');
}
?> 因题目中并没有给出数据库配置文件,所以直接看题,在题目中重点部分为
if(isset($requset['token']))
//测试变量是否已经配置。若变量已存在则返回 true 值。其它情形返回 false 值。
{
$login = unserialize(gzuncompress(base64_decode($requset['token'])));
//gzuncompress:进行字符串压缩
//unserialize: 将已序列化的字符串还原回 PHP 的值
$db = new db();
$row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
//mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
if($login['user'] === 'ichunqiu')
{
echo $flag;
}else if($row['pass'] !== $login['pass']){
echo 'unserialize injection!!';
}else{
echo "(╯‵□′)╯︵┴─┴ ";
}
}else{
header('Location: index.php?error=1');
}条件1为判断是否存在token参数,如果存在,那么就将token得值进行反序列化和解压缩后的值进行base64解密。
解密完成后会带入上面写得db类中得select方法查询。
接着就是需要注意得重点,if($login['user'] === 'ichunqiu')即需要传入的user值为ichunqiu。
所以我们逆推出来需要做得就是先将user设定值为ichunqiu,随后进行base64加密得到值,但是我们刚才说到它在传值过程中进行了反序列话和解压缩,所以我们也需要进行压缩和序列化,分别用
gzcompress来压缩gzuncompress解压缩。
serialize来序列化unserialize反序列化。
最终得到如下代码,并得到token的值为eJxLtDK0qs60MrBOAuJaAB5uBBQ=,提交token即可echo $flag
<?php $arr = array(['user'] === 'ichunqiu'); $token = base64_encode(gzcompress(serialize($arr))); print_r($token); ?>
WITH ROLLUP注入
<?php
error_reporting(0);
if (!isset($_POST['uname']) || !isset($_POST['pwd'])) {
echo '<form action="" method="post">'."<br/>";
echo '<input name="uname" type="text"/>'."<br/>";
echo '<input name="pwd" type="text"/>'."<br/>";
echo '<input type="submit" />'."<br/>";
echo '</form>'."<br/>";
echo '<!--source: source.txt-->'."<br/>";
die;
}
function AttackFilter($StrKey,$StrValue,$ArrReq){
if (is_array($StrValue)){
//检测变量是否是数组
$StrValue=implode($StrValue);
//返回由数组元素组合成的字符串
}
if (preg_match("/".$ArrReq."/is",$StrValue)==1){
//匹配成功一次后就会停止匹配
print "水可载舟,亦可赛艇!";
exit();
}
}
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){
//遍历数组
AttackFilter($key,$value,$filter);
}
$con = mysql_connect("XXXXXX","XXXXXX","XXXXXX");
if (!$con){
die('Could not connect: ' . mysql_error());
}
$db="XXXXXX";
mysql_select_db($db, $con);
//设置活动的 MySQL 数据库
$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql);
//执行一条 MySQL 查询
if (mysql_num_rows($query) == 1) {
//返回结果集中行的数目
$key = mysql_fetch_array($query);
//返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false
if($key['pwd'] == $_POST['pwd']) {
print "CTF{XXXXXX}";
}else{
print "亦可赛艇!";
}
}else{
print "一颗赛艇!";
}
mysql_close($con);
?>第四题我们先来看看flag输出得条件
if($key['pwd'] == $_POST['pwd']) {
print "CTF{XXXXXX}";
}else{
print "亦可赛艇!";
}
要满足post中提交得pwd与$key = mysql_fetch_array($query);数据库中读取到得pwd相等,所以考点在于注入。
但是在AttackFilter函数和$filter中已经限制了sql注入得关键字,所以没办法直接进行注入。
其实在报错得过程中已经进行了提示亦可赛艇!,谐音为因缺思汀也就是WITH ROLLUP绕过注入
WITH ROLLUP是对group by分组后得结果进行进一步得汇总,如果按照列名进行分组,因为列得属性不同,所以会生成一条值null得新数据,如果查询结果时单一得情况下会生成一条列为null得数据。
我们来看看演示,值直接进行查询是有结果得
使用group by语句分组查询也是正常显示
但是当我们在group by语句后添加WITH ROLLUP,可以看到效果如下
但是我们只需要其中第二列得数据,所以使用limit 1读取1条数据并使用offset去除一行数据得到我们需要得第二行
pwd得值被设置为了null,所以此题我们可以通过提交admin' GROUP BY pwd WITH ROLLUP LIMIT 1 OFFSET 1-- -来达到$key['pwd'] == $_POST['pwd']得条件并获取flag。
erge截断
<?php
$flag = "flag";
if (isset ($_GET['password']))
{
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
{
echo '<p>You password must be alphanumeric</p>';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
if (strpos ($_GET['password'], '*-*') !== FALSE) //strpos — 查找字符串首次出现的位置
{
die('Flag: ' . $flag);
}
else
{
echo('<p>*-* have not been found</p>');
}
}
else
{
echo '<p>Invalid password</p>';
}
}
?>先来梳理流程 首先条件一用ereg函数来写死get参数password得值必须是数字大小写字母,否则输出You password must be alphanumeric。
第二个条件为strlen($_GET['password']) < 8 && $_GET['password'] > 9999999也就是必须长度小于8但是值又要大于9999999。
所以我们需要用科学计数法来绕过这里得限制1e7为10得7次方10000000。
第三个条件为strpos ($_GET['password'], '*-*') !== FALSE在值中必须存在*-*如果满足此条件,就没办法满足条件一,所以这里可以采用%00截断法来进行绕过,因为ereg函数遇到%00后就不会继续进行判断
?password=1e7%00*-*即可满足全部条件,执行die('Flag: ' . $flag);来获取flag
strcmp比较字符串
<?php
$flag = "flag";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);
else
print 'No';
}
?>这题得考点在于strcmp函数,它的作用在于两个字符串相比较,如果两者相等就会==0。
此函数是用来处理字符串参数的,如果提交的值是数组的话会返回个null在判断中使用的是==等值符,如果类型不相同的情况下会转换为同类型进行比较,所以null==0,执行die('Flag: '.$flag);
所以我们提交一个数组类型的值即可?a[]=1。
sha()函数比较绕过
<?php
$flag = "flag";
if (isset($_GET['name']) and isset($_GET['password']))
{
if ($_GET['name'] == $_GET['password'])
echo '<p>Your password can not be your name!</p>';
else if (sha1($_GET['name']) === sha1($_GET['password']))
die('Flag: '.$flag);
else
echo '<p>Invalid password.</p>';
}
else
echo '<p>Login first!</p>';
?>这题的考点在于sha1($_GET['name']) === sha1($_GET['password'])
他这里使用的是===等同符,他要求两边值得类型相同,才会去比较值,否则会直接返回false
首先来看条件一$_GET['name'] == $_GET['password'] name要与password不相等才会执行else if
但是else if又要求===,所以我们可以利用sha1函数不能处理数组得机制来绕过
即?name[]=1&password[]=2既满足了name与password不相等,也满足了因sha1无法处理数组,导致返回值为false=false所以会执行die('Flag: '.$flag);
加载全部内容