session会话机制介绍如下

http是无状态协议。服务器靠cookie和session来记住用户。$_SESSION 和 $_GET等一样,是超全局变量。

后台脚本里面会写: session() start 。会话开始。所以,当浏览器访问一个页面时,session机制就开始了。这个时候机制会生成一个PHPSESSID. 存放在cookie当中,当在这个网站post,get 请求数据的时候,会带着这个ID。这个ID是随机的,是由PHP决定的。在注册时,这个PHPSSID可能和注册时间,毫秒,用户名,密码哈希值等有关,所以爆破碰撞PHPSSID难度很大。

在服务器后台,会创建一个以PHPSSID命名文件,里面会储存用户的信息。服务器根据用户发送过来的PHPSSID,读取文件里面的信息。

上面的和这道题没有太大关系。

题目源码打包地址: 120.27.32.227/www.zip

这是一道代码审计。

下面是相关代码示例。

<?php

define("DB_NAME", "xian");

define("DB_HOST", "localhost");

define("DB_USER", "root");

define("DB_PASSWD", "");

define("DSN", "mysql:host=".DB_HOST.";dbname=".DB_NAME);

ini_set("display_errors", "On");

error_reporting(0);

foreach (array('_COOKIE','_POST','_GET') as $_request)

{

    foreach ($$_request as $_key=>$_value)

    {

        $$_key=  $_value;

    }

}

session_start();

?>

这是common.php里面的代码,连接数据库,取出超全局变量里面的变量和值,根据顺序,先取出cookie,再试post和get。++如果这些变量里面有重名的变量,根据先后顺序,get具有决定性。接着就是SESSION会话机制开始++。由于$_SESSION也是一个超全局变量,如果碰到和前面那三个有重名的,$_SESSION具有决定性。

下面看do_register.php。

<?php

include_once("common.php");

$dbh = new PDO(DSN, DB_USER, DB_PASSWD);

$sql = "select * from user where username = :username";

$sth = $dbh->prepare($sql);

$sth->execute(array(':username'=>$username));

$res = $sth->fetch(PDO::FETCH_ASSOC);

if($res !== false) {

    header("Location: error.php?msg=username%20has%20been%20used!");

    die();

}

$sql = "insert into user (username, password, role) values(:username, :password, 1)";

$sth = $dbh->prepare($sql);

$res = $sth->execute(array(':username'=>$username, ':password'=>$password));

if($res === false) {

    header("Location: error.php?msg=register%20error!");

    die();

}

$sql = "select * from user where username = :username and password = :password";

$sth = $dbh->prepare($sql);

$sth->execute(array(':username'=>$username, ':password' => $password));

$res = $sth->fetch(PDO::FETCH_ASSOC);

if($res === false) {

    header("Location: error.php?msg=register%20error!");

    die();

}

$userinfo["id"] = $res["id"];

$userinfo["username"] = $username;

$userinfo["password"] = $password;

$_SESSION["userinfo"] = $userinfo;

$userinfo["role"] = $res["role"];

header("Location: index.php");

?>

看这段代码的最后几行,是直接把userinfo的信息写进了session里面。下面再看do_changepassword.php。

<?php

include_once("common.php");

if(!isset($_SESSION["userinfo"])) {

    header("Location: login.php");

    die();

}

$userinfo = $_SESSION["userinfo"];

if($old_pass = $userinfo['password']) {

	if($userinfo["id"] == 1) {

		echo "flag{xxx}";

		die();

	}

    $dbh = new PDO(DSN, DB_USER, DB_PASSWD);

    $sql = "update user set password = :password where id=:id";

    $sth = $dbh->prepare($sql);

    $res = $sth->execute((array(':password'=>$new_pass, ':id'=>$userinfo['id'])));

	var_dump $new_pass;

	echo "<br>";

	var_dump $userinfo['id'];

    if($res === false) {

        header("Location: error.php?msg=changepass%20error!");

        die();

    }

    $userinfo["password"] = $new_pass;

    $_SESSION['userinfo'] = $userinfo;

    header("Location: index.php");

} else {

    header("Location: error.php?msg=invalid%20old%20pass!");

    die();

}

?>

这里看到,要得到flag,id必须为1。

所以正常来说,我们会想到在超全局变量里面传入参数userinfo['id']=1。

这是一个数组,所以我们请求应该这么写。 http://localhost/do_changepass.php?userinfo[id]=1

但是并没有用,因为$_SESSION这个超全局变量里面有和这个重名的,最后这个变量的值是由session决定的。

所以,这题,只要在post,get,cookie这三个里面传入和session里面重名的变量,都会被session给覆盖,也就是传入参数数组的方式行不通。

解这题的正确姿势,还是要用到“php是最好的语言这个特性”---弱类型。

所以这道题,在register的时候,传入参数,userinfo=1 。然后访问do_changepass ,改密码,就出flag了。解释如下。

传入参数 userinfo=1, 在register页面,

$userinfo["id"] = $res["id"];

$userinfo["username"] = $username;

$userinfo["password"] = $password;

$_SESSION["userinfo"] = $userinfo;

$userinfo["role"] = $res["role"];

header("Location: index.php");

这几行代码之前,session为空。所以这里调用的userinfo 是我们传进去的参数,而我们传进去的参数是一个字符串 , $userinfo["id"]

会把我们的字符串先转化为字符数组,但是是一个数字索引数组 。里面没有id这个键,所以 $userinf["id"] 就与 userinfo[0] 等同。我们的userinfo就变成了userinfo="$rs["id"]"。只改变了第一个字符。接下来的变量赋值,都只改变了第一个字符。所以最后第一个字符是由 $res["role"]决定的,值为1。

我们传入变量的时候,只传入一个字符,同样能出flag。

	if($userinfo["id"] == 1) {

		echo "flag{xxx}";

		die();

	}

这里userinfo["id"]=userinf[0]=$res["role"]=1。

总结:这一道题考察了 变量覆盖,php弱类型:字符和数组的转化,变量重名。还有观察力。

[xnuca](web)xblog的更多相关文章

  1. X-NUCA 2017 web专题赛训练题 阳光总在风雨后和default wp

     0X0.前言 X-NUCA 2017来了,想起2016 web专题赛,题目都打不开,希望这次主办方能够搞好点吧!还没开赛,依照惯例会有赛前指导,放一些训练题让CTFer们好感受一下题目. 题目有一大 ...

  2. X-NUCA联赛WEB赛前指导write-up

    第一关 审查代码发现有隐藏的连接,访问,flag一闪而过.打开burpsuite,设置好代理,然后重新访问,在历史里找相应的回复包,得到flag. 第二关 审查元素 修改按钮为可用 抓获一个POST包 ...

  3. [XNUCA 进阶篇](web)writeup

    XNUCA 靶场练习题writeup default 阳关总在风雨后 题目过滤很多,*,#,/ ,and,or,|,union,空格,都不能用 盲注,最后的姿势是:1'%(1)%'1 中间的括号的位置 ...

  4. Java Web项目总结

    知识点列表(慢慢增加,红色代表公司暂时没有使用): 开发: 视图层技术——HTML,CSS,JS,AJAX,Tiles,Velocity,FreeMarker 持久层技术——MyBatis,Hiber ...

  5. C# Web应用调试开启外部访问

    在用C#开发Web应用时有个痛点,就是本机用VS开启Web应用调试时外部机器无法访问此Web应用.这里将会介绍如何通过设置允许局域网和外网机器访问本机的Web应用. 目录 1. 设置内网访问 2. 设 ...

  6. 网页提交中文到WEB容器的经历了些什么过程....

    先准备一个网页 <html><meta http-equiv="Content-Type" content="text/html; charset=gb ...

  7. 闲来无聊,研究一下Web服务器 的源程序

    web服务器是如何工作的 1989年的夏天,蒂姆.博纳斯-李开发了世界上第一个web服务器和web客户机.这个浏览器程序是一个简单的电话号码查询软件.最初的web服务器程序就是一个利用浏览器和web服 ...

  8. java: web应用中不经意的内存泄露

    前面有一篇讲解如何在spring mvc web应用中一启动就执行某些逻辑,今天无意发现如果使用不当,很容易引起内存泄露,测试代码如下: 1.定义一个类App package com.cnblogs. ...

  9. 对抗密码破解 —— Web 前端慢 Hash

    (更新:https://www.cnblogs.com/index-html/p/frontend_kdf.html ) 0x00 前言 天下武功,唯快不破.但在密码学中则不同.算法越快,越容易破. ...

随机推荐

  1. Linux 源码安装Ansible 参考篇

    Ansible 源码搭建配置 近期在学习自动化运维相关技术,文章主要模拟内网情况下对Ansible的安装演示,源码安装较为繁琐.枯燥,尤其是在实际安装过程中可能出现各式各样的问题,所有在安装过程中尽量 ...

  2. Spring Security Auth/Acl 实践指南

    目录 导语 Web Api Authentication/Authorization 示例接口 添加 Maven 依赖 实现接口 访问接口 认证/鉴权 配置认证/鉴权 添加 Maven 依赖 创建数据 ...

  3. springboot学习第一步

    关于springboot的介绍就不多说了,可以去百度. 默认的情况下,springboot1.4.0版本要求Java7以上和spring4.3.2以上,当然你也可以使用java1.6,只不过你需要额外 ...

  4. .Net Core Aop之IResourceFilter

    一.简介 在.net core 中Filter分为一下六大类: 1.AuthorizeAttribute(权限验证) 2.IResourceFilter(资源缓存) 3.IActionFilter(执 ...

  5. JAVA8学习——从使用角度深入Stream流(学习过程)

    Stream 流 初识Stream流 简单认识一下Stream:Stream类中的官方介绍: /** * A sequence of elements supporting sequential an ...

  6. 《手把手教你》系列技巧篇(六十九)-java+ selenium自动化测试 - 读取csv文件(详细教程)

    1.简介 在实际测试中,我们不仅需要读取Excle,而且有时候还需要读取CSV类的文件.如何去读取CSV的文件,宏哥今天就讲解和分享一下,希望对你能够有所帮助.前面介绍了如何读取excel文件,本篇介 ...

  7. CVE-2017-0213漏洞复现

    CVE-2017-0213漏洞形成的原因 类型混淆的漏洞通常可以通过内存损坏的方式来进行利用.然而漏洞发现者在利用时,并未采用内存损坏的方式来进行漏洞利用.按照漏洞发现者的说法,内存损坏的利用方式需要 ...

  8. mysql 的奇妙历险

    mysql 的奇妙历险 这几天在练习sql的时候,碰到下面几个题, 如下 他的表字段是这些 create table Student( SId varchar(10), # 学生id Sname va ...

  9. 操作指南:如何利用Smartbi、Tableau实现地图可视化展示

    优秀的地图分析是高信息量与美感兼具的.以往制作地图分析基本都需要依靠编程,制作的门槛比较高,制作也比较复杂.如果有一款只需要套入地理经纬度数据或区域名称,就能自动识别定位出相应位置的地图可视化工具是不 ...

  10. 📚 选择排序和插入排序区别-DS笔记

    选择排序法 A[i...n)未排序,A[0...i)已排序 A[i...n]中最小值要放到A[i]的位置 复杂度 \(O(n^2)\) 第一层循环n次 第二层循环:i=0,n次:i=1,n-1次... ...