ctfshow—PHP特性

最新推荐文章于 2023-08-02 13:37:57 发布

原创

最新推荐文章于 2023-08-02 13:37:57 发布 · 2.7k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#php

本文介绍了PHP中的一些关键函数，如intval()、strpos()、md5()、in_array()、file_put_contents()、eval()等的用法及潜在的安全风险。涉及的技巧包括字符串转换、正则匹配、变量覆盖、命令执行等，揭示了如何利用这些函数进行web安全漏洞利用，同时也展示了如何防止此类攻击。

PHP特性

以ctfshow平台题目为例

web89

intval() 函数用于获取变量的整数值。

intval() 函数通过使用指定的进制 base 转换（默认是十进制），返回变量 var 的 integer 数值。 intval() 不能用于 object，否则会产生 E_NOTICE 错误并返回 1。

web 90

int intval ( mixed $var [, int $base = 10 ] )

如果 base 是 0，通过检测 var 的格式来决定使用的进制：

如果字符串包括了 “0x” (或 “0X”) 的前缀，使用 16 进制 (hex)；

如果字符串以 “0” 开始，使用 8 进制(octal)；

否则，将使用 10 进制 (decimal)。

web91

/i表示匹配大小写
字符 ^ 和 $ 同时使用时，表示精确匹配，需要匹配以php开头和以php结尾
/m 多行匹配若存在换行\n并且有开始^或结束 $符的情况下，将以换行为分隔符，逐行进行匹配但是当出现换行符 ‘$ cmd的值会被当做两行处理，而此时第二个if正则匹配不符合以php开头和以php结尾

web 94

strpos() 函数查找字符串在另一字符串中第一次出现的位置

Code
strpos(string,find,start)

参数	描述
string	必需。规定要搜索的字符串。
find	必需。规定要查找的字符串。
start	可选。规定在何处开始搜索。

返回字符串在另一字符串中第一次出现的位置，如果没有找到字符串则返回 FALSE。

注释：字符串位置从 0 开始，不是从 1 开始。

web97

md5绕过

科学计数法绕过
列举几种脚本爆破出的类型

Code
IHKFRNS 0e256160682445802696926137988570
QLTHNDT 0e405967825401955372549139051580
QNKCDZO 0e830400451993494058024219903391
3908336290 0e807624498959190415881248245271
4011627063 0e485805687034439905938362701775
4775635065 0e998212089946640967599450361168
0e215962017 0e291242476940776845150308577824
aabg7XSs 0e087386482136013740957780965295
aabC9RqS 0e041022518165728065344349536299

数组绕过
php中的md5()函数无法处理数组类型数据，对于数组类型数据返回NULL，当我们传入两个数组时，就会变成两个NULL，也就是NULL==NULL，成功绕过

md5碰撞

利用md5碰撞，得到两个md5值相同但内容完全不一样的字符串

一.%D89%A4%FD%14%EC%0EL%1A%FEG%ED%5B%D0%C0%7D%CAh%16%B4%DFl%08Z%FA%1DA%05i%29%C4%FF%80%11%14%E8jk5%0DK%DAa%FC%2B%DC%9F%95ab%D2%09P%A1%5D%12%3B%1ETZ%AA%92%16y%29%CC%7DV%3A%FF%B8e%7FK%D6%CD%1D%DF/a%DE%27%29%EF%08%FC%C0%15%D1%1B%14%C1LYy%B2%F9%88%DF%E2%5B%9E%7D%04c%B1%B0%AFj%1E%7Ch%B0%96%A7%E5U%EBn1q%CA%D0%8B%C7%1BSP

二.%D89%A4%FD%14%EC%0EL%1A%FEG%ED%5B%D0%C0%7D%CAh%164%DFl%08Z%FA%1DA%05i%29%C4%FF%80%11%14%E8jk5%0DK%DAa%FC%2B%5C%A0%95ab%D2%09P%A1%5D%12%3B%1ET%DA%AA%92%16y%29%CC%7DV%3A%FF%B8e%7FK%D6%CD%1D%DF/a%DE%27%29o%08%FC%C0%15%D1%1B%14%C1LYy%B2%F9%88%DF%E2%5B%9E%7D%04c%B1%B0%AFj%9E%7Bh%B0%96%A7%E5U%EBn1q%CA%D0%0B%C7%1BSP

web98

$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

这里是三目运算符和取地址，第二行和第三行是无用的，因为用不到，所以我们分析一下第一行和第四行

第一行：如果存在get传参，则把post传参地址给get，可以简单理解为post覆盖了get
第四行，如果get参数HTTP_FLAG的值为flag，就读取文件，也就是输出flag

web99

$allow = array();//设置为数组
for ($i=36; $i < 0x36d; $i++) {
   
    
    array_push($allow, rand(1,$i));//向数组里添加随机数
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
   
    //in_array()函数有漏洞 没有设置第三个参数 就可以形成自动转换eg:n=1.php自动转换为1
    file_put_contents($_GET['n'], $_POST['content']);//写入1.php文件 内容是<?php system($_POST[1]);?>
}

流程主要是先创建一个数组，接着往数组里添加rand()函数产生的随机数；
第二个if判断是否存在get参数n，并且用in_array()在数组里搜索值
最后用file_put_contents函数写数据到文件中

in_array()

in_array() 函数搜索数组中是否存在指定的值

php
in_array(search,array,type)

参数	描述
search	必需。规定要在数组搜索的值。
array	必需。规定要搜索的数组。
type	可选。如果设置该参数为 true，则检查搜索的数据与数组的值的类型是否相同。

说明

如果给定的值 search 存在于数组 array 中则返回 true。如果第三个参数设置为 true，函数只有在元素存在于数组中且数据类型与给定值相同时才返回 true。

如果没有在数组中找到参数，函数返回 false。

注释：如果 search 参数是字符串，且 type 参数设置为 true，则搜索区分大小写。

file_put_contents()

函数把一个字符串写入文件中。

与依次调用 fopen()，fwrite() 以及 fclose() 功能一样。

web100

include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
   
   
    if(!preg_match("/\;/", $v2)){
   
   
        if(preg_match(