CODE/COMMAND INJECTION

CODE INJECTION

https://www.freebuf.com/sectool/168653.html

EXAMPLE1

<?php

$str = “echo \”hello “. $GET_[‘name’].”!!!\”;”;      .是连接  双引号注意就近。  

Eval($str);          \”双引号转义 因为echo  内容需要是字符串

?>

注意单引号双引号区别

%22.system(%27ls%27);//   输入,替换了$GET_[‘name’]

%22 :   “

%27: ‘

<?php

$str = “echo \”hello “. %22.system(%27ls%27);//.”!!!\”;”;    

Eval($str);

?>

‘.cat /etc/passwd’

%22.system(‘cat  /etc/passwd’);//   失败

%22.system(%27cat  /etc/passwd%27);//     成功

COMMAND INJECTION

Example 1

<?php

System(‘ping –c $_GET[‘ip’]’ );

?>

127.0.0.1;whoami

PHP 弱类型

= ==

strcmp()

<?php

    if (isset($_GET['value'])) {

    if (strcmp($_GET['value'], $flag) == 0)

        die('Flag is: '.$flag);

    else print 'Flag is not here !';

}

?>

Strcmp= s1-s2

参数是两个数组,输入数组则错误,判断相等

Urlcode 二次编码绕过

/i 不区分大小写

浏览器对用户输入数据自动解码(比如输入 %27)

<?php

    if(preg_match("/hackerDJ/i",$_GET[id])) {

 echo(" not allowed ! ");

 exit();

 }

 $_GET[id] = urldecode($_GET[id]);  //解码

 if($_GET[id] == "hackerDJ") {

  die('Flag is: '.$flag);

 }

?>

对D ,为 %44,再次urlencode,得到 %2544

整数类型大小比较

数组在比较中恒大与具体值

其他类型和整形比较会先 intval()

<?php

$temp = $_GET['id'];

is_numeric($temp) ? die("retry !") : NULL;

if($temp>6607){

    die('Flag is: '.$flag);

} else print 'Flag is not here !';

?> Flag is not here !

Extract 变量覆盖

Extract(array,extract_rules,prefix)

<?php

    $flags='test.txt';

    extract($_GET);

    if(isset($id)) {

        $content=trim(file_get_contents($flags));

    if($id==$content) {

        die('Flag is: '.$flag);

    } else {

    print 'Flag is not here !';

    } }

    ?>

如果输入id=$content

使用extract接收输入,存在变量覆盖,覆盖flags

接收输入后,flags=1,此时

file_get_contents($flags)

取不到文件,故content为空

同时输入id是空。   &是连接符,重新复制flags

输出flag

Intval()

小数取整echo intval(9.999); // 9。最大值取决于操作系统


<?php

    $key = $_GET['key'];

    if(intval($key) > 1||intval($key) < 0){

        die("key is not right");

    }

    elseif (intval($key) < 1) {

        if ($key ==1) {

            die('Flag is: '.$flag);

        }else print 'key is not right !!!';

    } ?> key is not right !!!

Php中弱比较,1==0.999999999999999999999999

比如 echo 1==0.999999999999999999999999  输出1

正则截断

Erge

Php版本小于5.3

遇到%00 默认字符串结束

Preg_match()

Php>=5.3

遇到%00 默认字符串结束


<?php

    if(isset($_GET['password'])){

if(preg_match("/^[a-zA-Z0-9]+$/", $_GET['password']) === FALSE){

    print('You password not right'); 

} elseif(strlen($_GET['password']) < 8 && $_GET['password'] > 9999999){

    if(strpos($_GET['password'], '*_*') !== FALSE){

     die('Flag is:'.$flag);

} else{

    print('*_* have not been found');

    }

} else{

    print('Invalid password');

    }

}

?>

1e8 >9999999 字符串长度小于8

Eval() 注入

把字符串当做PHP代码执行。只能执行不能回显。

<?php

    if (isset($_GET['id'])) {

    $id = $_GET['id'];

    eval("var_dump($id);");

}

?>

闭合括号,注释掉后面

Md5()弱比较

PHP中 md5对数组加密返回NULL

对所有0e开头(16进制)字符串认为相等

<?php

if (isset($_GET['p1']) && isset($_GET['p2'])) {

    if ($_GET['p1'] != $_GET['p2'] && md5($_GET['p1']) == md5($_GET['p2']))

        die('Flag is: '.$flag);

    else print 'Flag is not here !';

}

?>

输入数组用  ?p1[],多个用 &

Md5()强比较

== 只对值比较,两边先转化为同种类型,若一方为数字另一方为空或null或数组,现将字符串转化为0

=== 比较类型和值

<?php

if (isset($_GET['p1']) && isset($_GET['p2'])) {

    if ($_GET['p1'] != $_GET['p2'] && md5($_GET['p1']) === md5($_GET['p2']))

        die('Flag is: '.$flag);

    else print 'Flag is not here !';

}

?>

Sha()弱比较

对数组加密返回NULL

<?php

if (isset($_GET['name']) and isset($_GET['password'])) {

    if ($_GET['name'] == $_GET['password'])

        echo ' Your password can not be your name! ';

    else if (sha1($_GET['name']) === sha1($_GET['password']))

        die('Flag: '.$flag); else echo ' Invalid password ';

}

else echo 'Flag is not here !';

?> Flag is not here !

Strpos

查找字符串在字符串第一次出现的位置。Strpos(string,find,start)。在string中查找find

<?php

if (isset($_GET['id'])) {

    $one = ord('0');

    $nine = ord('9');

    for($i = 0; $i < strlen($_GET['id']); $i++) {

        $digit = ord($_GET['id']{$i});

        if(($digit < $one) || ($digit > $nine) ) {

            print("必须输入数字才行");

            return FALSE;

            }

        }

    if (strpos($_GET['id'], 'sss607') !== FALSE)

        die('Flag: '.$flag);

    else echo 'flag is not here ~';

}

?>

先判断只有数字

Strpos对数组查找返回NULL,NULL!==flase

Session 验证绕过

Session_start() 用来初始化session或从session仓库加载已经存在的session变量

<?php

@session_start();

print($_SESSION["password"]);

    if ($_GET['password'] == $_SESSION['password'])

        die ('Flag: '.$flag);

    else

        print 'password is not right !';

$_SESSION['password']=rand(10000000,99999999);

?>

系统会判断用户输入的password的值是否与当前session中password值相同。初始时session为空,故输入password为空即可

若直接访问过http://10.201.132.248:8090/13.session/session.php 则session已经存在,不为空。清空缓存或者换浏览器即可

PHP 弱类型 && CODE/COMMADN injection的更多相关文章

  1. MVC 强类型传值Model。和弱类型传值ViewData[&quot;&quot;]。及用EF进行增删查改(母版页的使用)

    <1> 控制器 </pre><pre name="code" class="csharp">using MvcTest.Mo ...

  2. PHP弱类型需要特别注意的问题

    下面介绍的问题都已验证, 总结:字符数据比较==不比较类型,会将字符转数据,字符转数字(转换直到遇到一个非数字的字符.即使出现无法转换的字符串,intval()不会报错而是返回0).0e,0x开头的字 ...

  3. [JS2] JS是弱类型

    <html> <head> <title>JavaScript 是弱类型的</title> <Script Language="Java ...

  4. sqlite 的比较等运算是根据不同的值而不同的,并不是根据的字段类型,因为 sqlite 是弱类型字段

    sqlite 的比较等运算是根据不同的值而不同的,并不是根据的字段类型,因为 sqlite 是弱类型字段   --------------------------------------------- ...

  5. MVC强类型和弱类型的区别

    1 强类型的处理 首先必须要有一个对象的实体类,UserINfo就是一个实体类,如下: public class UserInfo() { public  int Id{set;get;} publi ...

  6. PHP弱类型安全问题的写法和步骤

    鉴于目前PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面.在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理.本篇文章主要就是记录我在做攻防平台上面遇到的PHP的 ...

  7. Javascript 弱类型:除法结果是小数

    由于javascript是弱类型,只有一种var类型,所以在运算时不会自动强制转换,所以计算的结果是多少就是多少,但java中的17/10的结果就是1(强类型与弱类型)比如:console.log(M ...

  8. 2016年11月3日JS脚本简介数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6.布尔型数据:bool 7.对象类型:object 8.二进制:binary 语言类型: 1.强类型语言:c++ c c# java 2.弱类型语

    数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6 ...

  9. 弱类型语言中的0和空字符串(''或"")以及字符串'0'

    在弱类型语言(js/PHP)中, 当我们用==判断0和'0'以及空字符串(''或"")是否相等的时候, 返回的是true. 而且在PHP中, 当我们用==判断0和null是否相等的 ...

随机推荐

  1. Pandas应用案例-股票分析:使用tushare包获取股票的历史行情数据进行数据分析

    目标: 使用tushare包获取股票的历史行情数据 输出该股票所有收盘比开盘上涨3%以上的日期 输出该股票所有开盘比前日收盘跌幅超过2%以上的日期 假如为我们从2010年1月1日开始,每月第一个交易日 ...

  2. oracle dg库因为standby_file_management参数导致应用停止

    DG库的standby_file_management=manual,主库添加文件的时候,备库无法自动创建对应的文件而报错 File #154 added to control file as 'UN ...

  3. powershell中的cmdlet命令

    Add-Computer 向域或工作组中添加计算机. Add-Content 向指定的项中添加内容,如向文件中添加字词. Add-History 向会话历史记录追加条目. Add-Member 向 W ...

  4. CALL TRANSACTION 使用说明

    以调用事务VA03为例: 在程序中添加如下代码就可以实现  SET PARAMETER ID 'AUN' FIELD var. CALL TRANSACTION 'VA03' AND SKIP FIR ...

  5. Linux操作系统相关资料

    玩转Linux操作系统 操作系统发展史 只有硬件没有软件的计算机系统被称之为"裸机",我们很难用"裸机"来完成计算机日常的工作(如存储和运算),所以必须用特定的 ...

  6. ECharts图表——封装通用配置

    前言 前段时间在做大屏项目,大量用到echarts图表,大屏对设计规范要求比较高,而大屏项目,经常会因为业务方面的原因.或者是数据方面的原因改动UI设计,所有图表的代码也是三天一小改.五天一大改 因此 ...

  7. python 编译EXE文件

    以labelme测试 标注工具labelimg和labelme 矩形标注工具:labelimg 多边形标准工具:labelme 前者官网发布了可执行文件,后者只有python源码,如果需要编译wind ...

  8. 转 3 jmeter的两种录制方法

      录制1-badboy(推荐) badboy是一款自动化测试工具,它可以完成简单的功能测试和性能测试.其实它是一款独立的测试工具,只不过它录制东西导出的格式适用于jmeter,所以我们经常把jmet ...

  9. Vue基础之Vue组件

    Vue基础之Vue组件 // 组件是可以复用的Vue实例! // 可以把经常重复的功能封装为组件!

  10. 3.kafka安装配置

    kafka安装配置 ### 1.集群规划 hadoop102 hadoop103 hadoop104 zk zk zk kafka kafka kafka jar包下载 http://kafka.ap ...