PHP代码审计 01

既然提示有源代码泄露,我们就先扫描一遍。

精选CTF专用字典:

https://github.com/gh0stkey/Web-Fuzzing-Box/blob/main/Dir/Ctf.txt

推荐使用7kbscan进行扫描,

https://github.com/7kbstorm/7kbscan-WebPathBrute

线程调成1,然后加载字典,找到svn 那应该就是SVN源代码泄露。

index.php

<?php

include 'flag.php';

session_start();

defined('black_hat') or header("Location: route.php?act=index");

if(isset($_SESSION['hat'])){

    if($_SESSION['hat']=='green'){

	output("<img src='green-hat-1.jpg'>",10);

    echo "<br><br><br><a href='logout.php'>妥妥的绿帽子,再给你一次机会吧!</a>";

    }else{

	output("<img src='black-fedora.jpg'>",1);

	echo $flag;

    echo "<br><br><br><a href='logout.php'>哎呦不错哦,再来一次。</a>";

    }

}else{

    output("<img src='white-hat.jpg'>",10);

echo "<br><br><br><a href='login.php'>哥想知道自己的真正实力!</a>";

}

function output($content,$count){

    for($i=0;$i<$count;$i++){

	echo $content;

    }

}

login.php

<?php

defined('black_hat') or header('Location: route.php?act=login');

session_start();

include_once "common.php";

$connect=mysql_connect("127.0.0.1","root","root") or die("there is no ctf!");

mysql_select_db("hats") or die("there is no hats!");

if (isset($_POST["name"])){

  $name = str_replace("'", "", trim(waf($_POST["name"])));

  if (strlen($name) > 11){

    echo("<script>alert('name too long')</script>");

  }else{

    $sql = "select count(*) from t_info where username = '$name' or nickname = '$name'";

    echo $sql;

    $result = mysql_query($sql);

    $row = mysql_fetch_array($result);

    if ($row[0]){

      $_SESSION['hat'] = 'black';

      echo 'good job';

    }else{

	$_SESSION['hat'] = 'green';

    }

    header("Location: index.php");

  }

}

?>

common.php

<?php

error_reporting(2);

session_start();

$connect = mysql_connect("127.0.0.1", "root", "root") or die("error 1");

mysql_select_db("hats") or die("error 2");

function d_addslashes($array){

        foreach($array as $key=>$value){

        if(!is_array($value)){

            !get_magic_quotes_gpc() && $value=addslashes($value);

            waf($value);

            $array[$key]=$value;

        }

    }

    return $array;

}

function waf($value){

    $Filt = "\bUNION.+SELECT\b|SELECT.+?FROM";

    if (preg_match("/".$Filt."/is",$value)==1){

        die("found a hacker");

    }

    $value = str_replace(" ","",$value);

    return $value;

}

function is_login(){

    $sid = $_COOKIE["sid"];

    $data = explode("|",$sid);

    if($data[0] && $data[1] && $data[1] == encode($data[0]))

    {

        return $data[0];

    }

    return FALSE;

}

function encode($str){

    $key = sha1("Fuck_you_man");

    return md5($key.$str);

}

function set_login($name){

    $data = encode($name);

    setcookie("sid","$name|$data");

}

?>

route.php

<?php

header('Content-Type: text/html; charset=utf-8');

define("black_hat", 'icq');

include("common.php");

$_POST=d_addslashes($_POST);

$_GET=d_addslashes($_GET);

$file = $_GET['act'].".php";

if (!is_file($file)){

    die("not hats");

}

include_once($file);

?>

  • 当$_SESSION['hat'] = 'black';时,在index.php下面就能获取到flag

  • 在login.php中发现SQL语句:

    select count(*) from t_info where username = '$name' or nickname = '$name'

  • 我们只要利用or 1=1就能让结果不为空

    继续看common.php的代码发现传入的name经过了waf函数,过滤了常见的union、select、from 同时过滤了空格

  • route.php是把post和get的数据addslashes

addslashes ( string $str ) : string

返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)。

  • '进行转义,以后变成\',但经过common.php里替换单引号,最终就只剩\

  • /**/代替空格 然后通过or 1=1以及#注释掉后面的语句让整个语句永远为真。

最终Payload:or/**/1=1#'

安鸾CTF Writeup PHP代码审计01的更多相关文章

  1. 安鸾CTF Writeup wordpress 01

    题目一: wordpress 01 URL:http://whalwl.site:8041/ wordpress 站思路就是先用wpscan 进行扫描检测一遍. wpscan 使用方法可以参考两篇文章 ...

  2. 安鸾CTF Writeup SSRF03

    SSRF03 题目URL: http://whalwl.host:2000/ 其中的弯路我就不多说了,直接上解题思路 方法和SSRF02类似都是找内网机器端口,继续用ssrf02 这道题的方法:htt ...

  3. 安鸾CTF Writeup SSRF02

    SSRF02 题目链接:http://www.whalwl.host:8090/ 看到题目,以为是SSRF 获取内网信息, SFTP FTP Dict gopher TFTP file ldap 协议 ...

  4. 【CTF MISC】pyc文件反编译到Python源码-2017世安杯CTF writeup详解

    1.题目 Create-By-SimpleLab 适合作为桌面的图片 首先是一张图片,然后用StegSolve进行分析,发现二维码 扫码得到一串字符 03F30D0A79CB0558630000000 ...

  5. 【CTF MISC】文件内容反转方法-2017世安杯CTF writeup详解

    Reverseme 用winhex打开,发现里面的字符反过来可以正常阅读,所以文件被倒置了 Python解题程序如下 with open('reverseMe','rb') as f: with op ...

  6. unserialize反序列化 安鸾 Writeup

    关于php反序列化漏洞原理什么,可以看看前辈的文章: https://xz.aliyun.com/t/3674 https://chybeta.github.io/2017/06/17/浅谈php反序 ...

  7. 安鸾CTF-cookies注入

    什么是cookie注入? cookie注入的原理是:修改cookie的值进行注入 cookie注入其原理也和平时的注入一样,只不过注入参数换成了cookie 例如:PHP $_REQUEST 变量变量 ...

  8. XML外部实体注入 安鸾 Writeup

    XML外部实体注入01 XML外部实体注入,简称XXE 网站URL:http://www.whalwl.host:8016/ 提示:flag文件在服务器根目录下,文件名为flag XML用于标记电子文 ...

  9. 文件上传 安鸾 Writeup

    目录 Nginx解析漏洞 文件上传 01 文件上传 02 可以先学习一下文件上传相关漏洞文章: https://www.geekby.site/2021/01/文件上传漏洞/ https://xz.a ...

随机推荐

  1. 南京大学计算机基础 ELF和可执行文件格式

    1.可重定位目标文件格式 主要是由ELF头,一些节比如.text节,.rodata节,.data节,.bss节等,前面是只读的,后面是可读可写的,加上一个节头表 1.1 ELF头里面主要包含了16字节 ...

  2. leetcode TOP100 比特位计数

    338. 比特位计数 题目描述: `给定一个非负整数 num.对于 0 ≤ i ≤ num 范围中的每个数字 i ,计算其二进制数中的 1 的数目并将它们作为数组返回. 示例 1: 输入: 2 输出: ...

  3. nginx的基本使用

    下载: https://nginx.org/en/download.html  Window下安装: 下载好了之后直接解压就行了.(解压目录切记别含有中文) 启动:1️⃣直接双击nginx.exe2️ ...

  4. python 17篇 unittest单元测试框架

    单元测试:开发程序的人自己测试自己的代码 unittest自动化测试框架 1.单元测试 import unittest def add(a,b): return a+b # 在运行时不要用run un ...

  5. python使用笔记009--小练习

    1.密码生成器 1 ''' 2 1.写一个生产密码的程序,输入几,就产生几条密码,密码产生的不重复. 3 要求密码:长度6-12,密码必须包含 大写字母.小写字母.数字 4 产生完密码后存到一个文件里 ...

  6. python3.6 找不到Tkinter

    PYTHON3.6安装时提示是否安装(TK) 引入模块import tkinter(都小写)

  7. js之 foreach, map, every, some

    js中array有四个方法 foreach, map, every, some,其使用各有倾向. 关注点一:foreach 和 map 无法跳出循环,每个元素均执行 foreach 和 map 无法跳 ...

  8. odoo里的开发案例

    1.模块命名[驼峰命名方法] res开头的是:resources   常见模型:res.users,   res.company,    res.partner,   res.config.setti ...

  9. Python自动化测试面试题-Redis篇

    目录 Python自动化测试面试题-经验篇 Python自动化测试面试题-用例设计篇 Python自动化测试面试题-Linux篇 Python自动化测试面试题-MySQL篇 Python自动化测试面试 ...

  10. 【论文集合】机器翻译NMT中数据打分和数据选择的经典方法

    根据Survey of Data-Selection Methods in Statistical Machine Translation的总结,MT中的数据选择分类图如下: 使用场景 数据使用的场景 ...