代码审计
在做bugku 代码审计的题时,发现有好多函数的绕过是之前没留意到的,记录一下
1.extract变量覆盖
题目地址:http://120.24.86.145:9009/1.php
<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>
extract()
使用参考:http://www.w3school.com.cn/php/func_array_extract.asp
解题方法:
GET请求?flag=&shiyan=
,extract()
会将$flag
和$gift
的值覆盖了,将变量的值设置为空或者不存在的文件就满足$gift == $content
PAYLOAD:http://120.24.86.145:9009/1.php?flag=&shiyan=
2.strcmp比较字符串
题目地址:http://120.24.86.145:9009/6.php
<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);
else
print 'No';
}
?>
PHP的strcmp()
函数在PHP5.3版本之前使用数组可以绕过验证
strcmp()
用法参考
函数期望传入的类型是字符串类型的数据,要是我们传入非字符串类型的数据的话,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0 。也就是说虽然报了错,但却判定其相等了,也就绕过了判断。
PAYLOAD:http://120.24.86.145:9009/6.php?a[]=1
3.urldecode二次编码绕过
题目地址:http://120.24.86.145:9009/10.php
<?php
if(eregi("hackerDJ",$_GET[id])) {
echo("
not allowed!
");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "
Access granted!
";
echo "
flag
";
}
?>
eregi()是不区分大小写的正则匹配
字符串比对解析。
语法: int eregi(string pattern, string string, array [regs]);
返回值: 整数/数组
函数种类: 资料处理
解题思路:将hackerDJ
使用小葵进行两次URL编码
得到%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41
使用GET将id传进去
PAYLOAD:http://120.24.86.145:9009/10.php?id=%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41