PHP源码来自:https://github.com/bowu678/php_bugs

快乐的暑期学习生活+1

01 extract变量覆盖

<?php

$flag='xxx';

extract($_GET);

 if(isset($shiyan))

 {

    $content=trim(file_get_contents($flag));

    if($shiyan==$content)

    {

        echo'ctf{xxx}';

    }

   else

   {

    echo'Oh.no';

   }

   }

?>
 

变量覆盖漏洞:自定义的参数值替换原有变量值的情况

extract()函数介绍:https://www.runoob.com/php/func-array-extract.html

源代码使用extract($_GET)接收了GET请求传输进来的数据,并且将键名和键值转换为变量名和变量的值,可以看到有$flag变量是在extract之前就定义了的,file_get_contents() 函数把整个文件读入一个字符串中。正常的代码流程读取$flag文件并且去除两边的空格,将结果存储在$content里面,然后使用我们传入的$shiyan变量与$content进行比较,如果相同的话就输出flag,否则输出 Oh no。

如果$flag文件存在的话,因为是题目服务器上的文件,我们没有权限知道里面的内容,在其读取到$content变量里面的时候,更无法与其进行比较,进而获取flag

突破点在于:extract()函数在flag变量值的下面,所以我们可以以GET方式对$flag重新赋值,进而读取一个不可能存在的文件,使$content为空,传入$shiyan变量也为空,即可获取flag

如图:

02 绕过过滤的空白字符

<?php

$info = "";

$req = [];

$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

ini_set("display_error", false); //为一个配置选项设置值

error_reporting(0); //关闭所有PHP错误报告

if(!isset($_GET['number'])){

   header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

   die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) {  //foreach 语法结构提供了遍历数组的简单方式

    foreach($global_var as $key => $value) {

        $value = trim($value);  //trim — 去除字符串首尾处的空白字符(或者其他字符)

        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

    }

} 

function is_palindrome_number($number) {

    $number = strval($number); //strval — 获取变量的字符串值

    $i = 0;

    $j = strlen($number) - 1; //strlen — 获取字符串长度

    while($i < $j) {

        if($number[$i] !== $number[$j]) {

            return false;

        }

        $i++;

        $j--;

    }

    return true;

} 

if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串

{

   $info="sorry, you cann't input a number!";

}

elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值

{

     $info = "number must be equal to it's integer!! ";  

}

else

{

     $value1 = intval($req["number"]);

     $value2 = intval(strrev($req["number"]));  

     if($value1!=$value2){

          $info="no, this is not a palindrome number!";

     }

     else

     {

          if(is_palindrome_number($req["number"])){

              $info = "nice! {$value1} is a palindrome number!";

          }

          else

          {

             $info=$flag;

          }

     }

}

echo $info;
 

代码比较长,但是不慌,从上往下看,用到函数的时候再到函数里再去看构造

if(!isset($_GET['number'])){

   header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

   die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) {  //foreach 语法结构提供了遍历数组的简单方式

    foreach($global_var as $key => $value) {

        $value = trim($value);  //trim — 去除字符串首尾处的空白字符(或者其他字符)

        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

    }

} 
 

在这里使用GET方式传入number参数的值,同时也可以通过GET或者POST的方式传入其他参数的值

if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串

{

   $info="sorry, you cann't input a number!";

}
 

使用is_numeric函数检测传入的$number是否为数字,不能传入数字

elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值

{

     $info = "number must be equal to it's integer!! ";  

}
 

intval函数获取变量的整数值

strval — 获取变量的字符串值

这一步需要传入的是整数,也就与第一个if条件相矛盾

这两部分都可以通过在number参数前加%00进行绕过

else

{

     $value1 = intval($req["number"]);

     $value2 = intval(strrev($req["number"]));  

     if($value1!=$value2){

          $info="no, this is not a palindrome number!";

     }

     else

     {

          if(is_palindrome_number($req["number"])){

              $info = "nice! {$value1} is a palindrome number!";

          }

          else

          {

             $info=$flag;

          }

     }

}

echo $info;
 

这一部分第一步需要$value1和$value2相等,strrev函数令number取反,所以$number需要是一个回文数字,如12321,第二步需要绕过is_palindrome_number函数,使其返回值为false,其函数为:

function is_palindrome_number($number) {

    $number = strval($number); //strval — 获取变量的字符串值

    $i = 0;

    $j = strlen($number) - 1; //strlen — 获取字符串长度

    while($i < $j) {

        if($number[$i] !== $number[$j]) {

            return false;

        }

        $i++;

        $j--;

    }

    return true;

} 
 

该函数将$number数字转换为字符串,然后进行首尾依次比较,首尾相同则返回true,否则返回false。

这里看上去是矛盾的,既要令$number是回文,又要令$number不是回文。

分析可知,在绕过else里面的限制时,我们需要的是一个能逃逸出intval和is_numeric函数,却逃逸不出is_palindrome_number函数的字符

在P师傅的博客中,是通过查看PHP底层源代码进行分析的:

https://www.leavesongs.com/PENETRATION/some-sangebaimao-ctf-writeups.html

发现了\f字符能够进行实现上述的逃逸,看源代码当然很好,但是这里我们采用FUZZ的方法,python3脚本

import requests

for i in range(256):

    url = "http://127.0.0.1/php_bugs-master/02.php?number=%00%{:02X}12321".format(i)

    rep=requests.get(url)

    if "x" in rep.text:

        print(url)
 

运行之后结果为:

所以能够逃逸出来的字符为%0C 和 %2B,使用以上payload读取flag

好像这道题是SCTF2016的一道代码审计题目,挺不错的 :D

PHP代码审计分段讲解(1)的更多相关文章

  1. PHP代码审计分段讲解(14)

    30题利用提交数组绕过逻辑 本篇博客是PHP代码审计分段讲解系列题解的最后一篇,对于我这个懒癌患者来说,很多事情知易行难,坚持下去,继续学习和提高自己. 源码如下: <?php $role = ...

  2. PHP代码审计分段讲解(13)

    代码审计分段讲解之29题,代码如下: <?php require("config.php"); $table = $_GET['table']?$_GET['table']: ...

  3. PHP代码审计分段讲解(11)

    后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id= ...

  4. PHP代码审计分段讲解(12)

    28题 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style typ ...

  5. PHP代码审计分段讲解(10)

    26 unserialize()序列化 <!-- 题目:http://web.jarvisoj.com:32768 --> <!-- index.php --> <?ph ...

  6. PHP代码审计分段讲解(9)

    22 弱类型整数大小比较绕过 <?php error_reporting(0); $flag = "flag{test}"; $temp = $_GET['password' ...

  7. PHP代码审计分段讲解(8)

    20 十六进制与数字比较 源代码为: <?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag ...

  8. PHP代码审计分段讲解(7)

    17 密码md5比较绕过 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ': ...

  9. PHP代码审计分段讲解(6)

    14 intval函数四舍五入 <?php if($_GET[id]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_M ...

随机推荐

  1. waitpid()系统调用学习

    waitpid()的头文件 #include <sys/types.h>  #include <sys/wait.h> pid_t waitpid(pid_t pid,int ...

  2. 睿象云:为什么 Zabbix 告警如此火热?

    每当我们谈及监控工具的时候,Zabbix 总是最惹人瞩目的那一个.如同清晨荷叶上的剔透露珠,卓尔不凡:如同巷子末头的百年酒香,让人倾心.我们都知道 Zabbix 是监控工具里当仁不让的龙头大哥,却没几 ...

  3. tcp输入数据 慢速路径处理 tcp_data_queue_ofo

    tcp_data_queue_ofo 在新内核的实现中ofo队列实际上是一颗红黑树.在tcp_data_queue_ofo中根据序号,查找到合适位置,合并或者添加到rbtree中.同时设置dsack和 ...

  4. //*[starts-with(@class,'btn')][text()='差'] 正则定位元素

    starts-with?  //*[starts-with(@class,'btn')][text()='差']   意思找从头开始的这个class

  5. Vue-router插件使用

    单页面原理 Vue是单页面开发,即页面不刷新. 页面不刷新,而又要根据用户选择完成内容的更新该怎么做?Vue中采用锚点来完成. 如访问http://127.0.0.1#/index就是主页,而访问ht ...

  6. 怎么给Folx添加需要储存的网站密码

    Folx内置密码管理功能,可以帮助用户储存特定网站的密码,实现更加快速的登陆下载操作.在Folx的免费版本中,用户最多可以存储2个密码:而Folx专业版则不限制用户存储密码的数量. Folx通过两种方 ...

  7. 怎么在word里编辑插入数学公式?

    大学时代我们都有一个共同的噩梦--高数.每次上完高数课都有一些数学公式.可是我们最难的就是想用电脑在word中做笔记的时候该怎样用word插入公式.Word中自有的公式太少,新公式又太难输入.这也是一 ...

  8. vue集成高德地图

    vue集成高德地图 前言 二.使用步骤 1.注册高德开发平台 2.vue 结尾 前言 之前玩Thymeleaf的时候玩过高德地图,现在无聊Vue项目也整个地图进去~ 二.使用步骤 1.注册高德开发平台 ...

  9. 【干货】linux使用nginx一个80端口部署多个项目(spring boot、vue、nuxt、微信小程序)

    本人只有一个阿里云的ip和一个已经解析过的域名,然后想用80端口部署多个项目,比如输入: www.a.com和www.b.com与www.c.com就能访问不同项目,而不用输入不同端口号区分. 1.这 ...

  10. 他是 ISIJ 第四名,也是在线知名题库的洛谷“网红”

    转载自加藤惠. 2020年国际初中生信息学竞赛(ISIJ)上,以优秀成绩拿下第四名年仅初三的张湫阳,成为最夺目的选手之一. 而且虽然是初三的选手,但他取得优异成绩后,不少网友并不感到陌生,纷纷留言: ...