22 弱类型整数大小比较绕过

<?php

error_reporting(0);

$flag = "flag{test}";

$temp = $_GET['password'];

is_numeric($temp)?die("no numeric"):NULL;

if($temp>1336){

    echo $flag;

} 

?>

对于传入的password,赋值给temp,使用 is_numeric 函数进行判断,如果是数字的话退出,否则进行后面的判断,因为PHP的弱类型,在数字后面添加空格或者字符进行绕过

<?php

$a = '1';

$b = '1a';

$c = '1 ';

var_dump(is_numeric($a));//true

var_dump(is_numeric($b));//false

var_dump(is_numeric($c));//false

?>

在最后的 if 判断中

if($temp>1336){

    echo $flag;

}

因为如 1337a这种类型的字符串,会自动先进行类型转换后再比较,即转换为1337

所以我们可以使用payload:

?password=1999a

绕过限制,获取flag

23 md5函数验证绕过

<?php

error_reporting(0);

$flag = 'flag{test}';

$temp = $_GET['password'];

if(md5($temp)==0){

    echo $flag;

}

?>

这里需要令password进行md5加密后的值为0即可,又因为是弱类型比较,考虑使用md5后以0e开头的值,在网上找了一些:

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

s1502113478a

0e861580163291561247404381396064

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s155964671a

0e342768416822451524974117254469

s1184209335a

0e072485820392773389523109082030

s1665632922a

0e731198061491163073197128363787

s1502113478a

0e861580163291561247404381396064

s1836677006a

0e481036490867661113260034900752

s1091221200a

0e940624217856561557816327384675

s155964671a

0e342768416822451524974117254469

s1502113478a

0e861580163291561247404381396064

s155964671a

0e342768416822451524974117254469

s1665632922a

0e731198061491163073197128363787

s155964671a

0e342768416822451524974117254469

s1091221200a

0e940624217856561557816327384675

s1836677006a

0e481036490867661113260034900752

s1885207154a

0e509367213418206700842008763514

s532378020a

0e220463095855511507588041205815

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s214587387a

0e848240448830537924465865611904

s1502113478a

0e861580163291561247404381396064

s1091221200a

0e940624217856561557816327384675

s1665632922a

0e731198061491163073197128363787

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s1665632922a

0e731198061491163073197128363787

s878926199a

0e545993274517709034328855841020

然后选一个就行,这里作者使用s878926199a,获取flag

另一种方式是 password 不赋值,就为NULL,NULL==0

所以payload可为:

http://127.0.0.1/php_bugs-master/23.php

也可为:

http://127.0.0.1/php_bugs-master/23.php?password=s878926199a

24 md5函数true绕过注入

<?php

error_reporting(0);

$link = mysql_connect('localhost', 'root', 'root');

if (!$link) {

  die('Could not connect to MySQL: ' . mysql_error());

}

// 选择数据库

$db = mysql_select_db("security", $link);

if(!$db)

{

  echo 'select db error';

  exit();

}

// 执行sql

$password = $_GET['password'];

$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

var_dump($sql);

$result=mysql_query($sql) or die('<pre>' . mysql_error() . '</pre>' );

$row1 = mysql_fetch_row($result);

var_dump($row1);

mysql_close($link);

?>

关键代码在:

$password = $_GET['password'];

$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

也就是说我们需要从数据库中查询成功,这一段sql语句

很容易能够想到,构造这种语句

$sql = "SELECT * FROM users WHERE password = '' or '1'='1'";

当然这只是一个例子,不要拘泥于这句话,难点在于如何找到md5后再转换成字符串刚好为 ' or 'xx

这种形式的字符串

前辈们已经找好了,不过肯定还存在其他的语句

ffifdyop

md5后为为:

276f722736c95d99e921722cf9ed621c

hex转换成字符串为

'or'6<trash>

符合我们的要求

25 switch没有break 字符与0比较绕过

<?php

error_reporting(0);

if (isset($_GET['which']))

{

    $which = $_GET['which'];

    switch ($which)

    {

    case 0:

    case 1:

    case 2:

        require_once $which.'.php';

         echo $flag;

        break;

    default:

        echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);

        break;

    }

}

?>

这道题目使用了switch的特性和PHP弱类型比较的特性

首先是switch比较,因为case 0和case 1都没有break,所以当匹配到0或者1 的时候,匹配成功后,不会退出switch,而且还会继续向下进行,直到遇到break为止,在switch中只进行一次匹配,也就是说,如果匹配到了0,那么可以直接进入case 1和case 2,而不需要进行1 和 2 的比较。

这里的题目是需要我们包含flag.php文件,接下来就是如何令传入的which匹配到 0 或者 1 ,同时能包含flag.php

PHP中非数字开头字符串和数字 0比较==都返回True

因为通过逻辑运算符让字符串与数字进行比较时,会自动将字符串转换为数字,当转换不了的时候,其结果就为0,什么时候能转换成功?如12abc这种,就会被转换成12,而abc12,就会转换失败,个人认为是开头匹配的原因吧

所以我们只需要直接传入flag即可令其在switch中匹配到 case 0,因为没有break的原因,所以能进入case 2,输出flag

最后的payload为:

http://127.0.0.1/php_bugs-master/25.php?which=flag

参考链接:

https://joychou.org/web/SQL-injection-with-raw-MD5-hashes.html

http://www.am0s.com/functions/204.html

PHP代码审计分段讲解(9)的更多相关文章

  1. PHP代码审计分段讲解(14)

    30题利用提交数组绕过逻辑 本篇博客是PHP代码审计分段讲解系列题解的最后一篇,对于我这个懒癌患者来说,很多事情知易行难,坚持下去,继续学习和提高自己. 源码如下: <?php $role = ...

  2. PHP代码审计分段讲解(13)

    代码审计分段讲解之29题,代码如下: <?php require("config.php"); $table = $_GET['table']?$_GET['table']: ...

  3. PHP代码审计分段讲解(11)

    后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id= ...

  4. PHP代码审计分段讲解(1)

    PHP源码来自:https://github.com/bowu678/php_bugs 快乐的暑期学习生活+1 01 extract变量覆盖 <?php $flag='xxx'; extract ...

  5. PHP代码审计分段讲解(12)

    28题 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style typ ...

  6. PHP代码审计分段讲解(10)

    26 unserialize()序列化 <!-- 题目:http://web.jarvisoj.com:32768 --> <!-- index.php --> <?ph ...

  7. PHP代码审计分段讲解(8)

    20 十六进制与数字比较 源代码为: <?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag ...

  8. PHP代码审计分段讲解(7)

    17 密码md5比较绕过 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ': ...

  9. PHP代码审计分段讲解(6)

    14 intval函数四舍五入 <?php if($_GET[id]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_M ...

随机推荐

  1. 内网渗透 day6-msf后门植(windows)

    后门植入 目录 1. 持续化后门 2. 手动上传木马并加入注册表中 3. 上传nc 4. 开3389-->shift后门-->远程登入 5. at调用 1. 持续化后门 在提权后的mete ...

  2. 虚拟机vbox给vdi增加容量到16G后的一系列操作

    虚拟机vbox给vdi增加容量到16G后的一系列操作windows 下:cmdVbox/bin下1.#VBoxManage modifyhd "cloned.vdi" --resi ...

  3. linux 会话 进程组 守护进程

    Linux 下每个进程都会有一个非负整数表示的唯一进程 ID ,简称 pid . Linux 提供了 getpid 函数来获取 进程的 pid ,同时还提供了 getppid 函数来获取父进程的 pi ...

  4. 这些表情包你有吗?来 Battle 啊

    "能用表情包解决的问题,绝不多说一个字." "当不知道回复什么的时候,甩过去一个表情包就好了." 放眼望去,谁的 QQ/微信 收藏中没有几页代表性的表情包,那真 ...

  5. JS简单介绍与简单的基本语法

    1.JavaScirpt是一门编程语言,是为前端服务的一门语言. (1)基础语法 (2)数据类型 (3)函数 (4)面向对象 2.还涉及到BOM和DOM (1)BOM(操作浏览器的一些功能) (2)D ...

  6. kali 安装redis

    wget http://download.redis.io/releases/redis-2.8.3.tar.gz    下载 tar xzf redis-2.8.3.tar.gz          ...

  7. 超强工具集——GitHub 热点速览 Vol.47

    作者:HelloGitHub-小鱼干 本周 GitHub 趋势榜精彩至极,先是 JetBrains 开源的图像渲染引擎 Skia 有了 Java 封装,一开源便获得 500+ star,再是支持开发者 ...

  8. C#设计模式-外观模式(Facade Pattern)

    引言 在软件测试中,一般都是在功能测试稳定的情况下再进行UI自动化测试.或者进行性能测试.如果一个一个进行太麻烦,此时可以使用对外提供一个简单接口,通过这个接口可以访问内部一群接口.例如进行UI自动化 ...

  9. 面试官:小伙子,给我说一下Java 数组吧

    Java 数组 Java 语言中提供的数组是用来存储固定大小的同类型元素. 1.声明数组变量 首先必须声明数组变量,才能在程序中使用数组. dataType[] arrayRefVar; // 首选的 ...

  10. Linux Command Line_1_Shell基础

      引言 图形用户界面(GUI)让简单的任务更容易完成,命令行界面(CLI)使完成复杂的任务成为可能. 第一部分:Shell 本部分包括命令行基本语言,命令组成结构,文件系统浏览.编写命令行.查找命令 ...