zoukankan      html  css  js  c++  java
  • PHP代码审计分段讲解(9)

    22 弱类型整数大小比较绕过

    <?php
    
    error_reporting(0);
    $flag = "flag{test}";
    
    $temp = $_GET['password'];
    is_numeric($temp)?die("no numeric"):NULL;    
    if($temp>1336){
        echo $flag;
    } 
    
    ?>

    对于传入的password,赋值给temp,使用 is_numeric 函数进行判断,如果是数字的话退出,否则进行后面的判断,因为PHP的弱类型,在数字后面添加空格或者字符进行绕过

    <?php
    $a = '1';
    $b = '1a';
    $c = '1 ';
    
    var_dump(is_numeric($a));//true
    var_dump(is_numeric($b));//false
    var_dump(is_numeric($c));//false
    ?>

    在最后的 if 判断中

    if($temp>1336){
        echo $flag;
    } 

    因为如 1337a这种类型的字符串,会自动先进行类型转换后再比较,即转换为1337

    所以我们可以使用payload:

    ?password=1999a

    绕过限制,获取flag

     

    23 md5函数验证绕过

    <?php
    
    error_reporting(0);
    $flag = 'flag{test}';
    $temp = $_GET['password'];
    if(md5($temp)==0){
        echo $flag;
    }
    
    ?>

    这里需要令password进行md5加密后的值为0即可,又因为是弱类型比较,考虑使用md5后以0e开头的值,在网上找了一些:

    s878926199a
    0e545993274517709034328855841020
    s155964671a
    0e342768416822451524974117254469
    s214587387a
    0e848240448830537924465865611904
    s214587387a
    0e848240448830537924465865611904
    s878926199a
    0e545993274517709034328855841020
    s1091221200a
    0e940624217856561557816327384675
    s1885207154a
    0e509367213418206700842008763514
    s1502113478a
    0e861580163291561247404381396064
    s1885207154a
    0e509367213418206700842008763514
    s1836677006a
    0e481036490867661113260034900752
    s155964671a
    0e342768416822451524974117254469
    s1184209335a
    0e072485820392773389523109082030
    s1665632922a
    0e731198061491163073197128363787
    s1502113478a
    0e861580163291561247404381396064
    s1836677006a
    0e481036490867661113260034900752
    s1091221200a
    0e940624217856561557816327384675
    s155964671a
    0e342768416822451524974117254469
    s1502113478a
    0e861580163291561247404381396064
    s155964671a
    0e342768416822451524974117254469
    s1665632922a
    0e731198061491163073197128363787
    s155964671a
    0e342768416822451524974117254469
    s1091221200a
    0e940624217856561557816327384675
    s1836677006a
    0e481036490867661113260034900752
    s1885207154a
    0e509367213418206700842008763514
    s532378020a
    0e220463095855511507588041205815
    s878926199a
    0e545993274517709034328855841020
    s1091221200a
    0e940624217856561557816327384675
    s214587387a
    0e848240448830537924465865611904
    s1502113478a
    0e861580163291561247404381396064
    s1091221200a
    0e940624217856561557816327384675
    s1665632922a
    0e731198061491163073197128363787
    s1885207154a
    0e509367213418206700842008763514
    s1836677006a
    0e481036490867661113260034900752
    s1665632922a
    0e731198061491163073197128363787
    s878926199a
    0e545993274517709034328855841020

    然后选一个就行,这里作者使用s878926199a,获取flag

    另一种方式是 password 不赋值,就为NULL,NULL==0

    所以payload可为:

    http://127.0.0.1/php_bugs-master/23.php

    也可为:

    http://127.0.0.1/php_bugs-master/23.php?password=s878926199a

     

    24 md5函数true绕过注入

    <?php 
    error_reporting(0);
    $link = mysql_connect('localhost', 'root', 'root');
    if (!$link) { 
      die('Could not connect to MySQL: ' . mysql_error()); 
    } 
    // 选择数据库
    $db = mysql_select_db("security", $link);
    if(!$db)
    {
      echo 'select db error';
      exit();
    }
    // 执行sql
    $password = $_GET['password'];
    $sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";
    var_dump($sql);
    $result=mysql_query($sql) or die('<pre>' . mysql_error() . '</pre>' );
    $row1 = mysql_fetch_row($result);
    var_dump($row1);
    mysql_close($link);
    ?>

    关键代码在:

    $password = $_GET['password'];
    $sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

    也就是说我们需要从数据库中查询成功,这一段sql语句

    很容易能够想到,构造这种语句

    $sql = "SELECT * FROM users WHERE password = '' or '1'='1'";

    当然这只是一个例子,不要拘泥于这句话,难点在于如何找到md5后再转换成字符串刚好为 ' or 'xx

    这种形式的字符串

    前辈们已经找好了,不过肯定还存在其他的语句

    ffifdyop

    md5后为为:

    276f722736c95d99e921722cf9ed621c

    hex转换成字符串为

    'or'6<trash>

    符合我们的要求

     

    25 switch没有break 字符与0比较绕过

    <?php
    
    error_reporting(0);
    
    if (isset($_GET['which']))
    {
        $which = $_GET['which'];
        switch ($which)
        {
        case 0:
        case 1:
        case 2:
            require_once $which.'.php';
             echo $flag;
            break;
        default:
            echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
            break;
        }
    }
    
    ?>

    这道题目使用了switch的特性和PHP弱类型比较的特性

    首先是switch比较,因为case 0和case 1都没有break,所以当匹配到0或者1 的时候,匹配成功后,不会退出switch,而且还会继续向下进行,直到遇到break为止,在switch中只进行一次匹配,也就是说,如果匹配到了0,那么可以直接进入case 1和case 2,而不需要进行1 和 2 的比较。

    这里的题目是需要我们包含flag.php文件,接下来就是如何令传入的which匹配到 0 或者 1 ,同时能包含flag.php

    PHP中非数字开头字符串和数字 0比较==都返回True

    因为通过逻辑运算符让字符串与数字进行比较时,会自动将字符串转换为数字,当转换不了的时候,其结果就为0,什么时候能转换成功?如12abc这种,就会被转换成12,而abc12,就会转换失败,个人认为是开头匹配的原因吧

    所以我们只需要直接传入flag即可令其在switch中匹配到 case 0,因为没有break的原因,所以能进入case 2,输出flag

    最后的payload为:

    http://127.0.0.1/php_bugs-master/25.php?which=flag

     

     

    参考链接:

    https://joychou.org/web/SQL-injection-with-raw-MD5-hashes.html

    http://www.am0s.com/functions/204.html

  • 相关阅读:
    使用crontab定时执行脚本时别忘了输出重定向>
    php 中函数获取可变参数的方法, 这个语法有点像 golang 语言中的
    单词number 和 numeral 的区别
    vim 调到闭合的{
    [转]文件IO详解(二)---文件描述符(fd)和inode号的关系
    js中有包装类,java中也有包装类
    cin中函数的作用
    string类小结
    结构、位域、联合、枚举之小小总结
    运算符重载(C++)
  • 原文地址:https://www.cnblogs.com/Cl0ud/p/13292677.html
Copyright © 2011-2022 走看看