22 弱类型整数大小比较绕过
<?php
error_reporting(0);
$flag = "flag{test}";
$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;
if($temp>1336){
echo $flag;
}
?>
对于传入的password,赋值给temp,使用 is_numeric 函数进行判断,如果是数字的话退出,否则进行后面的判断,因为PHP的弱类型,在数字后面添加空格或者字符进行绕过
<?php $a = '1'; $b = '1a'; $c = '1 '; var_dump(is_numeric($a));//true var_dump(is_numeric($b));//false var_dump(is_numeric($c));//false ?>
在最后的 if 判断中
if($temp>1336){
echo $flag;
}
因为如 1337a这种类型的字符串,会自动先进行类型转换后再比较,即转换为1337
所以我们可以使用payload:
?password=1999a
绕过限制,获取flag
23 md5函数验证绕过
<?php
error_reporting(0);
$flag = 'flag{test}';
$temp = $_GET['password'];
if(md5($temp)==0){
echo $flag;
}
?>
这里需要令password进行md5加密后的值为0即可,又因为是弱类型比较,考虑使用md5后以0e开头的值,在网上找了一些:
s878926199a 0e545993274517709034328855841020 s155964671a 0e342768416822451524974117254469 s214587387a 0e848240448830537924465865611904 s214587387a 0e848240448830537924465865611904 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s1885207154a 0e509367213418206700842008763514 s1502113478a 0e861580163291561247404381396064 s1885207154a 0e509367213418206700842008763514 s1836677006a 0e481036490867661113260034900752 s155964671a 0e342768416822451524974117254469 s1184209335a 0e072485820392773389523109082030 s1665632922a 0e731198061491163073197128363787 s1502113478a 0e861580163291561247404381396064 s1836677006a 0e481036490867661113260034900752 s1091221200a 0e940624217856561557816327384675 s155964671a 0e342768416822451524974117254469 s1502113478a 0e861580163291561247404381396064 s155964671a 0e342768416822451524974117254469 s1665632922a 0e731198061491163073197128363787 s155964671a 0e342768416822451524974117254469 s1091221200a 0e940624217856561557816327384675 s1836677006a 0e481036490867661113260034900752 s1885207154a 0e509367213418206700842008763514 s532378020a 0e220463095855511507588041205815 s878926199a 0e545993274517709034328855841020 s1091221200a 0e940624217856561557816327384675 s214587387a 0e848240448830537924465865611904 s1502113478a 0e861580163291561247404381396064 s1091221200a 0e940624217856561557816327384675 s1665632922a 0e731198061491163073197128363787 s1885207154a 0e509367213418206700842008763514 s1836677006a 0e481036490867661113260034900752 s1665632922a 0e731198061491163073197128363787 s878926199a 0e545993274517709034328855841020
然后选一个就行,这里作者使用s878926199a,获取flag
另一种方式是 password 不赋值,就为NULL,NULL==0
所以payload可为:
也可为:
http://127.0.0.1/php_bugs-master/23.php?password=s878926199a
24 md5函数true绕过注入
<?php
error_reporting(0);
$link = mysql_connect('localhost', 'root', 'root');
if (!$link) {
die('Could not connect to MySQL: ' . mysql_error());
}
// 选择数据库
$db = mysql_select_db("security", $link);
if(!$db)
{
echo 'select db error';
exit();
}
// 执行sql
$password = $_GET['password'];
$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";
var_dump($sql);
$result=mysql_query($sql) or die('<pre>' . mysql_error() . '</pre>' );
$row1 = mysql_fetch_row($result);
var_dump($row1);
mysql_close($link);
?>
关键代码在:
$password = $_GET['password']; $sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";
也就是说我们需要从数据库中查询成功,这一段sql语句
很容易能够想到,构造这种语句
$sql = "SELECT * FROM users WHERE password = '' or '1'='1'";
当然这只是一个例子,不要拘泥于这句话,难点在于如何找到md5后再转换成字符串刚好为 ' or 'xx
这种形式的字符串
前辈们已经找好了,不过肯定还存在其他的语句
ffifdyop
md5后为为:
276f722736c95d99e921722cf9ed621c
hex转换成字符串为
'or'6<trash>
符合我们的要求
25 switch没有break 字符与0比较绕过
<?php
error_reporting(0);
if (isset($_GET['which']))
{
$which = $_GET['which'];
switch ($which)
{
case 0:
case 1:
case 2:
require_once $which.'.php';
echo $flag;
break;
default:
echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
break;
}
}
?>
这道题目使用了switch的特性和PHP弱类型比较的特性
首先是switch比较,因为case 0和case 1都没有break,所以当匹配到0或者1 的时候,匹配成功后,不会退出switch,而且还会继续向下进行,直到遇到break为止,在switch中只进行一次匹配,也就是说,如果匹配到了0,那么可以直接进入case 1和case 2,而不需要进行1 和 2 的比较。
这里的题目是需要我们包含flag.php文件,接下来就是如何令传入的which匹配到 0 或者 1 ,同时能包含flag.php
PHP中非数字开头字符串和数字 0比较==都返回True
因为通过逻辑运算符让字符串与数字进行比较时,会自动将字符串转换为数字,当转换不了的时候,其结果就为0,什么时候能转换成功?如12abc这种,就会被转换成12,而abc12,就会转换失败,个人认为是开头匹配的原因吧
所以我们只需要直接传入flag即可令其在switch中匹配到 case 0,因为没有break的原因,所以能进入case 2,输出flag
最后的payload为:
参考链接:
https://joychou.org/web/SQL-injection-with-raw-MD5-hashes.html