30题利用提交数组绕过逻辑

本篇博客是PHP代码审计分段讲解系列题解的最后一篇,对于我这个懒癌患者来说,很多事情知易行难,坚持下去,继续学习和提高自己。

源码如下:

<?php

$role = "guest";

$flag = "flag{test_flag}";

$auth = false;

if(isset($_COOKIE["role"])){

    $role = unserialize(base64_decode($_COOKIE["role"]));

    if($role === "admin"){

        $auth = true;

    }

    else{

        $auth = false;

    }

}

else{

    $role = base64_encode(serialize($role));

    setcookie('role',$role);

}

if($auth){

    if(isset($_POST['filename'])){

        $filename = $_POST['filename'];

        $data = $_POST['data'];

        if(preg_match('[<>?]', $data)) {

            die('No No No!'.$data);

        }

        else {

            $s = implode($data);

            if(!preg_match('[<>?]', $s)){

                $flag='None.';

            }

            $rand = rand(1,10000000);

            $tmp="./uploads/".md5(time() + $rand).$filename;

            file_put_contents($tmp, $flag);

            echo "your file is in " . $tmp;

        }

    }

    else{

        echo "Hello admin, now you can upload something you are easy to forget.";

        echo "<br />there are the source.<br />";

        echo '<textarea rows="10" cols="100">';

        echo htmlspecialchars(str_replace($flag,'flag{???}',file_get_contents(__FILE__)));

        echo '</textarea>';

    }

}

else{

    echo "Sorry. You have no permissions.";

}

?>

首先给出了$role和$auth的初始值

$role = "guest";

$auth = false;

如果在COOKIE中没有传值的话,就会进入else,将初始值设定在COOKIE里

else{

    $role = base64_encode(serialize($role));

    setcookie('role',$role);

}

从后面的逻辑上看,我们需要令

$auth=true

所以需要手动传入role值,通过逻辑

if(isset($_COOKIE["role"])){

    $role = unserialize(base64_decode($_COOKIE["role"]));

    if($role === "admin"){

        $auth = true;

    }

    else{

        $auth = false;

    }

}

这里对传入的 role 进行base64解密后反序列化,将结果赋值给$role

$role = unserialize(base64_decode($_COOKIE["role"]));

然后想要令

$auth=true

前提条件为:

$role === "admin"

这个是我们可以控制的

编写代码

<?php

    $role='admin';

    $role1=base64_encode(serialize($role));

    echo $role1;

?>

得到

role=czo1OiJhZG1pbiI7

可以看到成功绕过了第一个点

继续往下看

当 $auth 为 true的时候,进行:

	if(isset($_POST['filename'])){

        $filename = $_POST['filename'];

        $data = $_POST['data'];

        if(preg_match('[<>?]', $data)) {

            die('No No No!'.$data);

        }

        else {

            $s = implode($data);

            if(!preg_match('[<>?]', $s)){

                $flag='None.';

            }

            $rand = rand(1,10000000);

            $tmp="./uploads/".md5(time() + $rand).$filename;

            file_put_contents($tmp, $flag);

            echo "your file is in " . $tmp;

        }

    }

可以看出来是上传文件的代码,具体为:

传入文件名和文件内容:filename 和 data

    if(isset($_POST['filename'])){

        $filename = $_POST['filename'];

        $data = $_POST['data'];

判断$data中是否有一句话木马标识,有的话则退出

	if(preg_match('[<>?]', $data)) {

            die('No No No!'.$data);

        }

没有的话 else 结构,这里有一句

$s = implode($data);

应该是上传一句话木马的突破点。

关于 implode()函数,有:

定义:

implode()函数返回由数组元素组合成的字符串

示例:

<?php

$arr = array('Hello','World!','Beautiful','Day!');

echo implode(" ",$arr);

?>

输出:

Hello World! Beautiful Day!

而我们在前面的代码审计中,知道preg_match()函数只能处理字符串,当传入的变量是数组是会返回false,这里正好满足,可以编写代码测试

<?php

    $data[]='<?php phpinfo();?>';

    if(preg_match('[<>?]', $data)) {

            die('No No No!'.$data);

    }else{

        echo "yes!";

    }

?>

输出为

yes!

PHP Warning:  preg_match() expects parameter 2 to be string, array given in /usercode/file.php on line 3

虽然有警告,但是还是成功绕过了。

这里的代码

	if(!preg_match('[<>?]', $s)){

                $flag='None.';

            }

表示如果变量$s中没有匹配到特定字符的话就令$flag为空,这样在后面的文件写入时,也不能获取到flag了。

$rand = rand(1,10000000);

$tmp="./uploads/".md5(time() + $rand).$filename;

file_put_contents($tmp, $flag);

这里是生成一个随机的文件名,并且将 flag 内容写进去

最后是输出文件名

echo "your file is in " . $tmp;

我们绕过后 flag 会写入到 文件名随机生成的文件中,该文件名最后是可知的。

按照之前分析的过程,很容易可以构建出payload

访问获取flag

结束

PHP代码审计分段讲解(14)的更多相关文章

  1. PHP代码审计分段讲解(13)

    代码审计分段讲解之29题,代码如下: <?php require("config.php"); $table = $_GET['table']?$_GET['table']: ...

  2. PHP代码审计分段讲解(11)

    后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id= ...

  3. PHP代码审计分段讲解(6)

    14 intval函数四舍五入 <?php if($_GET[id]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_M ...

  4. PHP代码审计分段讲解(1)

    PHP源码来自:https://github.com/bowu678/php_bugs 快乐的暑期学习生活+1 01 extract变量覆盖 <?php $flag='xxx'; extract ...

  5. PHP代码审计分段讲解(12)

    28题 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style typ ...

  6. PHP代码审计分段讲解(10)

    26 unserialize()序列化 <!-- 题目:http://web.jarvisoj.com:32768 --> <!-- index.php --> <?ph ...

  7. PHP代码审计分段讲解(9)

    22 弱类型整数大小比较绕过 <?php error_reporting(0); $flag = "flag{test}"; $temp = $_GET['password' ...

  8. PHP代码审计分段讲解(8)

    20 十六进制与数字比较 源代码为: <?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag ...

  9. PHP代码审计分段讲解(7)

    17 密码md5比较绕过 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ': ...

随机推荐

  1. HTML图片点击放大---关闭

    <html lang="en"> <head> <meta charset="UTF-8"> </head> & ...

  2. Android自定控件基础(一)——几何图形绘制

    虽然本人有几年开发经验,但是自定义控件这一块儿,研究的很少,惭愧--用到的时候就是百度查找,复制粘贴.工时紧,总是想的快点完工就好.(都是借口啦,想学总会有时间哒) 作为一个Android开发 要说自 ...

  3. 一文看懂Java序列化之serialVersionUID

    serialVersionUID适用于Java的序列化机制.简单来说,Java的序列化机制是通过判断类的serialVersionUID来验证版本一致性的.在进行反序列化时,JVM会把传来的字节流中的 ...

  4. diamond收集插件的自定义

    diamond是与graphite配合使用的一个数据收集的软件,关于这个配置的资料很多,使用起来也比较简单,详细的安装和配置会在后面的关于整套监控系统的文章里面写到,本篇是专门讲解怎么自定义这个数据收 ...

  5. Spring Cloud配置中心之Consul

    Consul不仅可以作为Spring Cloud中服务的注册中心,也可以作为其配置中心,这样一个系统就可以实现服务发现和统一配置,减少系统维护的麻烦,其中在使用Consul作为配置中心使用的过程中可以 ...

  6. 小而精的 Docker 项目,为什么要使用 Docker? Docker 容器

    前言 为什么要使用 Docker? Docker 容器的启动在秒级 Docker 对系统资源利用率高,一台主机上可以同时运行数千个 Docker 容器. Docker 基本不消耗系统资源,使得运行在 ...

  7. java基本权限指南之:文件和共享目录的基本权限

    简介 java程序是跨平台的,可以运行在windows也可以运行在linux.但是平台不同,平台中的文件权限也是不同的.windows大家经常使用,并且是可视化的权限管理,这里就不多讲了. 本文主要讲 ...

  8. ServiceStage-华为微服务开发与管理平台

    前言 在上一篇文章一年前,我来到国企搞IT 中,和小伙伴分享了我在国企这一年当中的所见,所闻,所想,很高兴能够获得很多同道中人的共鸣.过去一年,我的很大一部分工作都投入到公司技术平台的建设中.Jira ...

  9. 了解 MySQL的数据行、行溢出机制吗?

    目录 一.行 有哪些格式? 二.紧凑的行格式长啥样? 三.MySQL单行能存多大体量的数据? 四.Compact格式是如何做到紧凑的? 五.什么是行溢出? 六.行 如何溢出? 七.思考一个问题 关注送 ...

  10. 详细了解IDM的“计划任务”功能

    今天我们一起来看看IDM下载器的"计划任务"功能. IDM是什么就不多说了,只需要知道它是一个十分好用的资源下载器就行了,下载速度非常快,搭配一些浏览器扩展程序甚至能加速百度盘的下 ...