墨者学院 - PHP代码分析溯源(第2题)

最新推荐文章于 2024-08-02 17:13:55 发布
最新推荐文章于 2024-08-02 17:13:55 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web 文章标签: PHP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42357070/article/details/81283153
本文探讨了一道PHP代码分析题目,涉及PHP哈希比较的潜在问题。由于PHP中0e开头的MD5值会被隐式转换为0,导致比较异常。通过分析,发现可以构造特定字符串,利用这一漏洞使不同MD5值在比较时被视为相等。解决方案是使用`===`进行严格比较。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

根据题干看了好久的php隐式转换。。。

还是毫无头绪。。。

这样的逻辑几乎是无解的。。。

md5(QNKCDZO,32) = 0e830400451993494058024219903391

 

根据PHP Hash比较存在缺陷

http://www.freebuf.com/news/67007.html

。。。在这道题中,最重要的一句话就是:

根据php的隐式转换可以知道 oe开头的md5都会转换成0
所以只要找到oe开头的字符串即可

必应搜索结果第一条:

http://www.cnblogs.com/Primzahl/p/6018158.html

 

这就是题目啊,,,随便拿一个就OK了,,,

 

16进制的数据中是含有e的,可以构建使得两个数字比较的,这里有一个现成的例子:

md5('240610708') 
//0e462097431906509019562988736854.
md5('QNKCDZO') 
//0e830400451993494058024219903391

可以看到,这两个字符串一个只包含数字,一个只包含字母,虽然两个的哈希不一样,但是都是一个形式:0e 纯数字这种格式的字符串在判断相等的时候会被认为是科学计数法的数字,先做字符串到数字的转换。

转换后都成为了0的好多好多次方,都是0,相等。(大家可以自己尝试一下)因此

md5('240610708')==md5('QNKCDZO'); //True
md5('240610708')===md5('QNKCDZO'); //False

用===可以避免这一漏洞。

 

7.12. 溯源分析
Sumarua的博客
07-23 5304
文章目录7.12. 溯源分析7.12.1. 攻击机溯源技术7.12.1.1. 基于日志的溯源7.12.1.2. 路由输入调试技术7.12.1.3. 可控洪泛技术7.12.1.4. 基于包数据修改追溯技术7.12.2. 分析模型7.12.2.1. 杀伤链(Kill Kain)模型7.12.2.2. 钻石(Diamond)模型7.12.3. 关联分析方法7.12.3.1. 文档类7.12.3.2. 行为分析7.12.3.3. 可执行文件相似性分析7.12.4. 清除日志方式 7.12. 溯源分析 7.12.1.
学院 - WebShell代码分析溯源(第8)
多崎巡礼的博客
08-05 769
审查代码 1、先找到黑页所在目录,观察同层级的其他文件命名和修改时间,选中可疑文件审计代码 2、没有新的发现,就去目录查找,根据最后的修改时间排查。 C:\Users\BayernChenTutu\Desktop\www_bak\fields\class-wp-rest-comment-meta-style.php   <?php error_reporting(0); ...
学院-PHP代码分析溯源(2)
JimWu的博客
09-04 410
PHP代码分析溯源(2) 难易程度:★ 目类型:代码审计 使用工具:FireFox浏览器、记事本 1.打开靶场,下载源代码。 2.用记事本打开,分析代码,判断条件为当参数a的值不等于QNKCDZO且a1=a2时,才能获取key。 但是a1是QNKCDZO用md5加密后的值,a2是输入值a用md5加密的值,a1要等于a2,但a不能等于QNKCDZO。 3.我们分析QNKCDZO经过md5加密...
- PHP代码分析溯源(2)
吃肉唐僧的博客
07-12 1054
下载源码,发现MD5加密字符串 发现代码if ($a != 'QNKCDZO' && $a1 == $a2) 则登录成功 因为是==比较值,所以存在隐式转换问,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行。此规则也适用于switch语句。 上网找到这个链接:https://segmentfault.co...
[ 学院 ] 代码审计 —— PHP代码分析溯源(第2
weixin_30364325的博客
06-20 234
0x01.前言: 背景介绍 根据提供的源代码,分析找出认证码 实训目标 1.掌握php隐式转换2.了解md5的加密解密 解方向 审计源代码,需要找一个值,这个值的md5值在php中==中给定值的md5值 0x02.分析过程: 启动...
学院-php分析溯源
JimWu的博客
09-04 388
php分析溯源 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、菜刀 1.打开靶场,下载源码。 2.打开文件夹,发现shell.php。 3.打开文件,发现一句话木马。 参数a的值给md5加密了,解密后为1Q2W3E。 3个=为全等,不仅比较值,而且还比较值的类型。 4.打开菜刀连接,构造url为 http://219.153.49.228:47779/shell.php?a...
学院 - PHP代码分析溯源(第1)
多崎巡礼的博客
07-30 929
1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。 2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中未定义的变量默认值为null,null==false==0,可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。 3、$__=("`"^"?").(":"^"}").("%.
学院 - WebShell代码分析溯源(第3)
多崎巡礼的博客
07-31 875
    $g是个数组,根据ASCll码对应表可以得到$g[1]='s',chr('116')='t',那么$gg=assert,@$gg($_POST[joker])不就是assert($_POST[joker]),组成了我们常见的一句话脚本 运用菜刀访问目录 ip/www/js/jquery1.42.min.php 密码get html路径下拿到key   <?php...
学院-HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(2)
05-29
HTML前端代码分析(暗链)、HTTP动作练习、IP地址伪造(2)phpMyAdmin后台文件包含分析溯源PHP代码分析溯源(第1)PHP代码分析溯源(2)PHP逻辑漏洞利用实战(第1)、SQL手工注入漏洞测试(Access数据库)
学院 - CMS系统漏洞分析溯源(第5)
多崎巡礼的博客
10-29 1679
phpecms1.3 cookies欺骗漏洞进后台 phpecms1.3/admin/cms_check.php <?php if(!isset($_COOKIE['admin_name'])){ alert_href('非法登录','cms_login.php'); }; ?>   判断如果没有admin_na...
学院--PHP代码分析溯源2
weixin_44382289的博客
09-04 210
1.依照目,点击下载源码; 2.分析源码; 从源码中我们可以看出,在a不等于qnkcdzo且a1等于a2时成功; a1为qnkcdzo的md5加密,所以a2为加密后与a1比较相等的值; 由于隐式转换,qnkcdzo就加密后的值等效于0*10^0,所以只要加密后也为这个值就可以了; 在这里我使用了240610708 //这的原理是PHP处理0e开头的md5哈希字符串的缺陷(有兴趣的可自行查阅资...
在线靶场--代码审计1星-PHP代码分析溯源(2)
weixin_42079912的博客
07-19 319
进入靶场网页,下载源码文件,打开后发现这样一句语句。 将QNKCDZO拿去md5解密发现是0e开头的。 根据==比较值,所以存在隐式转换问。根据代码我们可以知道,0e开头的md5在php中都会被认为是0,只要是0e开头的md5字符串,都可以作为答案输入。答案为: 将上列其中一个值输入靶场,即可得到本key。 ...
学院 - PHP代码分析溯源(第3)
多崎巡礼的博客
08-03 759
在for 循环中是判断输入的字符是否有存在在1和9之间的数字 如果不存在判断是否等于54975581388 等于则绕过 即 又不能等于数字1-9又要等于54975581388 但是这里在比较的时候就是用弱类型的,所以不要求完全一致。 php在转码时会把16进制转化为十进制.于是把54975581388转化成16进制0xccccccccc 键入 0xccccccccc 输入得到key...
PHP代码分析溯源(2)
jeehoon的博客
09-05 261
首先下载源代码,分析 由代码可以知道,答案就是要我们输入QNKCDZO的解密结果,我把它放到PMD5加密之后,可以获得32位加密结果0e830400451993494058024219903391 然后使用240610708与QNKCDZO等效的数字输入因为0e开头的都是为0,只需要找到等效的0e开头的就成功了 输入纯数字,获得key ...
学院-php代码分析溯源
臭nana的博客
12-14 432
打开发现代码是base64+压缩的编码 最简单的方式是将eval变成echo,其他方法 得到echo `$_REQUEST[a]`;; ?> 构造payload:?a=ls,发现key文件   用了ls就明白这是肯定不是在windows系统,所以不能用file_get_contents 两种方法: 1.使用cat不能直接读取出来,但可以查看源代码,在前面加view-...
PHP代码分析溯源(第1)
mozhe_的博客
05-25 1730
靶场地址:https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe靶场显示一段PHP源码,经分析:1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中...
PHP代码分析溯源(2)
liulala987的博客
08-02 377
字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。审计源代码,需要找一个值,这个值的md5值在php中==中给定值的md5值。常见的如下:在md5加密后以0E开头。随便交一个得到key。
学院WebShell文件上传漏洞分析溯源(第1)
最新发布
04-03
### 学院 WebShell 文件上传漏洞分析与溯源方法 #### 背景概述 WebShell 是一种嵌入到目标服务器中的脚本程序,攻击者可以通过它远程控制受害者的服务器。文件上传漏洞通常允许攻击者通过伪造请求或其他手段绕过安全机制,在服务器上放置恶意脚本。 在学院的相关目中提到的内容涉及多个方面,包括 MIME 类型篡改、禁用 JavaScript 绕过前端验证以及利用后缀名规避检测等技术[^1]。 --- #### 漏洞成因分析 文件上传漏洞的主要原因在于服务端对上传文件的安全校验不足。具体表现为以下几个方面: 1. **MIME 类型校验不严格** 攻击者可以使用工具(如 Burp Suite)抓取 HTTP 请求并修改其 MIME 类型字段,从而绕过基于内容类型的限制。例如,将 `.txt` 文件伪装为 `image/jpeg` 格式的图片文件。 2. **依赖客户端验证** 如果仅依靠浏览器端的 JavaScript 验证来阻止非法文件类型,则容易被禁用或绕过。一旦禁用了 JavaScript 功能,就可以轻松提交不符合预期规则的文件[^2]。 3. **扩展名校验缺陷** 当某些应用只检查文件名而未深入解析实际内容时,可能会接受带有特殊后缀名(比如 `.php5`, `.pht` 等变种 PHP 扩展)的文件作为合法输入[^3]。这使得即使表面上看似正常的文件也可能隐藏潜在威胁。 --- #### 解决方案建议 为了有效防范此类问的发生,可以从以下几方面着手改进防护措施: - 加强服务端逻辑设计, 不应单纯信任来自用户的任何数据; - 对于上传过程实施多重过滤策略, 如限定白名单内的 mime-type 和尺寸范围之外还需确认最终存储形式确实无害; - 定期审查现有代码库寻找可能存在的安全隐患点,并及时修补已知漏洞; 以下是实现上述部分功能的一个 Python 示例演示如何初步判断一个给定字符串是否可能是危险命令执行语句的一部分: ```python import re def is_potentially_dangerous(input_string): pattern = r'(?:exec|passthru|shell_exec|system|proc_open|popen)' match_result = re.search(pattern, input_string.lower()) return bool(match_result) test_strings = ["<?php echo 'hello'; ?>", "<?php system('ls'); ?>"] for s in test_strings: print(f"'{s}' -> {is_potentially_dangerous(s)}") ``` 此函数会返回 True 或 False 表明传入参数是否存在可疑的关键字组合。 --- #### 总结 通过对学院案例的学习可以看出,针对 web shell 的防御工作需要综合考虑多层面的因素,从前端界面交互直至后台数据库操作均需保持高度警惕以防万一环节疏漏造成严重后果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值