PHP源码来自:https://github.com/bowu678/php_bugs

快乐的暑期学习生活+1

01 extract变量覆盖

<?php

$flag='xxx';

extract($_GET);

 if(isset($shiyan))

 {

    $content=trim(file_get_contents($flag));

    if($shiyan==$content)

    {

        echo'ctf{xxx}';

    }

   else

   {

    echo'Oh.no';

   }

   }

?>
 

变量覆盖漏洞:自定义的参数值替换原有变量值的情况

extract()函数介绍:https://www.runoob.com/php/func-array-extract.html

源代码使用extract($_GET)接收了GET请求传输进来的数据,并且将键名和键值转换为变量名和变量的值,可以看到有$flag变量是在extract之前就定义了的,file_get_contents() 函数把整个文件读入一个字符串中。正常的代码流程读取$flag文件并且去除两边的空格,将结果存储在$content里面,然后使用我们传入的$shiyan变量与$content进行比较,如果相同的话就输出flag,否则输出 Oh no。

如果$flag文件存在的话,因为是题目服务器上的文件,我们没有权限知道里面的内容,在其读取到$content变量里面的时候,更无法与其进行比较,进而获取flag

突破点在于:extract()函数在flag变量值的下面,所以我们可以以GET方式对$flag重新赋值,进而读取一个不可能存在的文件,使$content为空,传入$shiyan变量也为空,即可获取flag

如图:

02 绕过过滤的空白字符

<?php

$info = "";

$req = [];

$flag="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";

ini_set("display_error", false); //为一个配置选项设置值

error_reporting(0); //关闭所有PHP错误报告

if(!isset($_GET['number'])){

   header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

   die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) {  //foreach 语法结构提供了遍历数组的简单方式

    foreach($global_var as $key => $value) {

        $value = trim($value);  //trim — 去除字符串首尾处的空白字符(或者其他字符)

        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

    }

} 

function is_palindrome_number($number) {

    $number = strval($number); //strval — 获取变量的字符串值

    $i = 0;

    $j = strlen($number) - 1; //strlen — 获取字符串长度

    while($i < $j) {

        if($number[$i] !== $number[$j]) {

            return false;

        }

        $i++;

        $j--;

    }

    return true;

} 

if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串

{

   $info="sorry, you cann't input a number!";

}

elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值

{

     $info = "number must be equal to it's integer!! ";  

}

else

{

     $value1 = intval($req["number"]);

     $value2 = intval(strrev($req["number"]));  

     if($value1!=$value2){

          $info="no, this is not a palindrome number!";

     }

     else

     {

          if(is_palindrome_number($req["number"])){

              $info = "nice! {$value1} is a palindrome number!";

          }

          else

          {

             $info=$flag;

          }

     }

}

echo $info;
 

代码比较长,但是不慌,从上往下看,用到函数的时候再到函数里再去看构造

if(!isset($_GET['number'])){

   header("hint:26966dc52e85af40f59b4fe73d8c323a.txt"); //HTTP头显示hint 26966dc52e85af40f59b4fe73d8c323a.txt

   die("have a fun!!"); //die — 等同于 exit()

}

foreach([$_GET, $_POST] as $global_var) {  //foreach 语法结构提供了遍历数组的简单方式

    foreach($global_var as $key => $value) {

        $value = trim($value);  //trim — 去除字符串首尾处的空白字符(或者其他字符)

        is_string($value) && $req[$key] = addslashes($value); // is_string — 检测变量是否是字符串,addslashes — 使用反斜线引用字符串

    }

} 
 

在这里使用GET方式传入number参数的值,同时也可以通过GET或者POST的方式传入其他参数的值

if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串

{

   $info="sorry, you cann't input a number!";

}
 

使用is_numeric函数检测传入的$number是否为数字,不能传入数字

elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值

{

     $info = "number must be equal to it's integer!! ";  

}
 

intval函数获取变量的整数值

strval — 获取变量的字符串值

这一步需要传入的是整数,也就与第一个if条件相矛盾

这两部分都可以通过在number参数前加%00进行绕过

else

{

     $value1 = intval($req["number"]);

     $value2 = intval(strrev($req["number"]));  

     if($value1!=$value2){

          $info="no, this is not a palindrome number!";

     }

     else

     {

          if(is_palindrome_number($req["number"])){

              $info = "nice! {$value1} is a palindrome number!";

          }

          else

          {

             $info=$flag;

          }

     }

}

echo $info;
 

这一部分第一步需要$value1和$value2相等,strrev函数令number取反,所以$number需要是一个回文数字,如12321,第二步需要绕过is_palindrome_number函数,使其返回值为false,其函数为:

function is_palindrome_number($number) {

    $number = strval($number); //strval — 获取变量的字符串值

    $i = 0;

    $j = strlen($number) - 1; //strlen — 获取字符串长度

    while($i < $j) {

        if($number[$i] !== $number[$j]) {

            return false;

        }

        $i++;

        $j--;

    }

    return true;

} 
 

该函数将$number数字转换为字符串,然后进行首尾依次比较,首尾相同则返回true,否则返回false。

这里看上去是矛盾的,既要令$number是回文,又要令$number不是回文。

分析可知,在绕过else里面的限制时,我们需要的是一个能逃逸出intval和is_numeric函数,却逃逸不出is_palindrome_number函数的字符

在P师傅的博客中,是通过查看PHP底层源代码进行分析的:

https://www.leavesongs.com/PENETRATION/some-sangebaimao-ctf-writeups.html

发现了\f字符能够进行实现上述的逃逸,看源代码当然很好,但是这里我们采用FUZZ的方法,python3脚本

import requests

for i in range(256):

    url = "http://127.0.0.1/php_bugs-master/02.php?number=%00%{:02X}12321".format(i)

    rep=requests.get(url)

    if "x" in rep.text:

        print(url)
 

运行之后结果为:

所以能够逃逸出来的字符为%0C 和 %2B,使用以上payload读取flag

好像这道题是SCTF2016的一道代码审计题目,挺不错的 :D

PHP代码审计分段讲解(1)的更多相关文章

  1. PHP代码审计分段讲解(14)

    30题利用提交数组绕过逻辑 本篇博客是PHP代码审计分段讲解系列题解的最后一篇,对于我这个懒癌患者来说,很多事情知易行难,坚持下去,继续学习和提高自己. 源码如下: <?php $role = ...

  2. PHP代码审计分段讲解(13)

    代码审计分段讲解之29题,代码如下: <?php require("config.php"); $table = $_GET['table']?$_GET['table']: ...

  3. PHP代码审计分段讲解(11)

    后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id= ...

  4. PHP代码审计分段讲解(12)

    28题 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style typ ...

  5. PHP代码审计分段讲解(10)

    26 unserialize()序列化 <!-- 题目:http://web.jarvisoj.com:32768 --> <!-- index.php --> <?ph ...

  6. PHP代码审计分段讲解(9)

    22 弱类型整数大小比较绕过 <?php error_reporting(0); $flag = "flag{test}"; $temp = $_GET['password' ...

  7. PHP代码审计分段讲解(8)

    20 十六进制与数字比较 源代码为: <?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag ...

  8. PHP代码审计分段讲解(7)

    17 密码md5比较绕过 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ': ...

  9. PHP代码审计分段讲解(6)

    14 intval函数四舍五入 <?php if($_GET[id]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_M ...

随机推荐

  1. 建议收藏,从零开始创建一个Activiti工作流,手把手教你完成

    环境配置 项目环境: JDK1.8 tomcat7 maven3.5 开发工具: IDEA activiti7 创建项目 目标:创建一个maven项目,集成Activiti,并自动生成25张数据库表 ...

  2. 部署sftp服务

    部署sftp服务有风险,可能造成ssh无法连接到服务器,因此写个脚本定时覆盖一下,保证ssh可以正常使用. 创建数据目录并赋权,创建账号密码,修改ssh文件. * mkdir /sftp groupa ...

  3. mysql多表查询之子语句查询

    1.子语句查询 1.1子语句查询出来的结果集作为临时表名使用 select * from (select * from person) as aaa; -- as这个起别名关键字是可以省略的 1.2查 ...

  4. 汇编语言CPU状态控制指令

    CPU状态控制指令 1.空操作指令NOP /该指令不执行任何操作,只是使IP加1,其机器码占有一个字节的存储单元,常用于程序调试./ 2.总线封锁前缀指令LOCK /该指令与其他指令联合使用,作为指令 ...

  5. Android 滑动删除控件推荐

    implementation 'com.github.mcxtzhang:SwipeDelMenuLayout:V1.3.0' <?xml version="1.0" enc ...

  6. nginx的403权限问题

    修改访问目录的权限为755 找到Nginx的配置文件nginx.conf,做如下改变: (1)将user nobody; 改为user root; (2)找到 autoindex  off 更改为on ...

  7. 「CSP-S 2019」Emiya 家今天的饭

    description loj 3211 solution 看到题目中要求每种主要食材至多在一半的菜中被使用,容易想到补集转换. 即\(ans=\)总方案数-存在某一种食材在一半以上的菜中被使用的方案 ...

  8. css3系列之详解border-radius

    border-radius border-radius 几种写法: 1.border-radius: 50%; 以正方形为例子, 这样写就是设置 4个角 为50%. 2.border-radius: ...

  9. Python Api接口自动化测试框架 代码写用例

    公司新来两个妹子一直吐槽这个接口测试用例用excel维护起来十分费脑费事,而且比较low(内心十分赞同但是不能推翻自己),妹子说excel本来就很麻烦的工具,于是偷偷的进行了二次改版. 变更内容如下: ...

  10. centos8 yum 升级nginx

    原文地址:https://blog.csdn.net/lpwmm/article/details/105627476 CentOS8的Yum仓库中内置的nginx版本是1.14.1,最近漏扫提示需要升 ...