刚从一道题发现的一些东西,PHP笔记,关于extract和null 空字符串

最新推荐文章于 2024-10-27 11:54:47 发布
转载 最新推荐文章于 2024-10-27 11:54:47 发布 · 136 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/BOHB-yunying/p/10859219.html
文章标签:

#php

本文深入探讨PHP中extract()函数的使用及潜在安全风险,特别是当结合$_GET参数时如何触发意外的flag输出。同时,解析了PHP反序列化漏洞,通过实例演示如何利用特定payload进行攻击。

队友发给我的一道extract变量的最基础的题目,他发现了一些问题,当传入shiyan=&flag=0时出flag,当传入shiyan=0&flag=0时不出flag,传入shiyan=&flag=时,出flag

<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>

首先extract不光是覆盖原有变量,也是直接把数组中的键值做为变量名,数组键值作为变量数值。

在解释下$_GET[ ]过程

$a=$_GET['a']

?a=yunying

相等于创建了一个get数组,传入了一个数组键为a,键值为字符串‘yunying’

相当于

 

 

 

如果传入的是a[0]=1,数组键a变成了一个数组,然后数组a中的数组键为0,数组键值的值为1,然后把a赋值给$a,呢么$a就变成了一个数组键为0,键值为1的变量

 

所以对于$_GET[]的总结就是,其实可以把$a看成GET数组中的数组键a,如果?a=yunying,$a='yunying',如果?a[1]=1,则$a[1]=1

而且不管flag经过extract覆盖为多少,content都为空字符串,因为file_get_contents无法读取变量。

并且当get传入的形式是?shiyan=  时,形式与content一样

都是空字符串,所以相等。我在这里试了下后,发现null与空字符串时弱相等,并且与0也弱相等

 

总结如下,空字符串与null与0弱相等,并且extract是直接会赋值会直接再数组中操作,如果原来有这个变量,便会覆盖

 

 

PHP反序列化

https://www.freebuf.com/news/172507.html

今天看到的一篇文章中,可以对私有属性修改

<?php
class SoFun
{ 
    protected $file='index.php';
    function __destruct(){ 
      show_source(dirname (__FILE__)."\\".$this ->file);
      } 
    function __wakeup()
    { 
        $this-> file='index.php'; 
    }  
}
$file=$_GET['file']; 
echo unserialize($file);
?>

payload:    ?file=O:5:"SoFun":2:{S:7:"\00*\00file";s:8:"flag.txt";}

转载于:https://www.cnblogs.com/BOHB-yunying/p/10859219.html

2021宁波市第四届网络安全大赛练习赛
Huamang的博客
05-23 853
签到咯~ 看响应头 Myself~ 请求头修改 php是……~ <?php include 'flag.php'; extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "&
PHP 函数 extract()使用
tongtongsong的博客
05-14 809
官方手册: extract — 从数组中将变量导入到当前的符号表 说明 intextract( array&$var_array[, int$extract_type= EXTR_OVERWRITE[, string$prefix= NULL]] ) 本函数用来将变量从数组中导入到当前的符号表中。 检查每个键名看是否可以作为一个合法的变量名,同时也检查符号...
PHP代码审计系列(一)
tpaer的博客
12-04 1279
本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。
Bugku 代码审计
weixin_30852451的博客
08-12 669
0x01、extract变量覆盖 代码: <?php$flag='xxx';extract($_GET);if(isset($shiyan)){$content=trim(file_get_contents($flag));if($shiyan==$content){echo'flag{xxx}';}else{echo'Oh.no';}}?> GET型传入参数,如果变量...
2021-06-15
ZZZllllllxx的博客
06-19 1067
2021/6/15 bugku web30 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!</p>"; } } ?> 这也有关php伪协议看到了file_get_contents这
R笔记☞函数-字符-向量-列表
xiaolute的博客
04-16 945
1.使用参数值调用函数(按位置名称) 函数调用的参数可以按照函数中定义的顺序提供,也可以以不同的顺序提供,但分配给参数的名称。 #用参数创建函数 new.function <- function(a,b,c) { result <- a * b + c print(result) } # 按参数位置调用函数. new.function(5,3,11) # 按参数名称...
在oracle的plsql中,字符A为[SCB-ALM] PR Tank23 Empty Error 字符B为[SCR-ALM] PR3 Tank Empty Error,如何提取对应字符中的数字
06-06
示例字符是:1."[SCB-ALM]PRTank23EmptyError"2."[SCR-ALM]PR3TankEmptyError"用户希望提取的数字部分分别是:第一个字符中的"23"(在"Tank23"中)第二个字符中的"3"(在"PR3"中)。但是注意,用户要求提取...
《CTF特训营》web部分读书笔记(四)利用特性攻击(phpwin系统)
闵行小鱼塘
07-29 487
继续阅读《CTF特训营》web部分,本节是利用特性攻击
取dataframe中一个具体位置的字符的前10位
最新发布
07-30
我们想要从DataFrame的特定位置(即某个单元格)提取字符值的前10个字符。 首先,我们需要定位到特定的单元格,然后对该字符进行切片操作(取前10个字符)。 有两种常见方法: 1. 使用`.loc`或`.iloc`定位到...
ctf php正则截断,BugkuCTF—代码审计—WriteUp(持续更新)
weixin_29628635的博客
03-17 624
BugkuCTF—代码审计—WriteUp(持续更新)extract变量覆盖首先分析下代码:extract函数:image.png[http://123.206.87.240:9009/1.php](http://123.206.87.240:9009/1.php)$flag='xxx';extract($_GET);if(isset($shiyan)) //shiyan这个变量不能为空{$co...
bugku web
沐目的博客
05-06 1067
bugku web8 可算是自己写出来一道代码审计的,虽然比较简单。 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "&...
2021年宁波市训练赛-练习中(还在更新)
pone2233的博客
05-22 1087
Web 签到喽~ F12网络查看到 flag{ad5dd38110ef947908ade2fe7b1e10d3} Myself~ X-Forwarded-For: 127.0.0.1 然后返回./git 泄露 Flag: flag{15cc8eee88302965c61497c147e6ca4c} php是……~ 我们通过了解 <?php include 'flag.php'; extract($_GET); if (!empty($ac)) { $f = trim(file_g
Bugku CTF_Web——file_get_contents
weixin_71914594的博客
10-27 696
看到file_get_contents就想到用php://input。Get传输ac再用fn读取数据。试了一下火狐的hackbar。一改Post就传输不过去。
web——web8(110)——Bugku
Zichel77的博客
08-11 323
0×00 靶场链接 http://123.206.87.240:8002/web8/ 0×01 目描述 0×02 解过程 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!&..
PHP函数入门(一)
tutu123456789101112的博客
02-26 287
extract函数变量覆盖问 &amp;amp;lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'ctf{xxx}'; } ...
BugkuCTF web8
3tu6b0rn的博客
05-15 533
代码审计 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!</p>"; } } ...
bugkuCTF Writeup (Web)31-35
Troublor的博客
01-31 1886
各种绕过哟 代码审计 highlight_file('flag.php'); $_GET['id'] = urldecode($_GET['id']); $flag = 'flag{xxxxxxxxxxxxxxxxxx}'; if (isset($_GET['uname']) and isset($_POST['passwd'])) { if ($_GET['una
三十六、bugku file_get_contents
山兔的博客
09-05 2229
file_get_contents的文件包含漏洞 打开目,就看到一段源码 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); //把输入到fn的文件读到f的文件当中去 if ($ac === $f) //ac=f { echo "<p>This is flag:" ." $flag</p>"; } else { echo
php变量覆盖
西部壮仔的博客
03-14 2829
前言 变量覆盖指的是用我们自定义的参数值替换程序原有的变量值,一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。 经常导致变量覆盖漏洞场景有:$$,extract()函数,parse_str()函数等. 正文 $$ 变量覆盖的问 简介 在PHP中$$表示的是一个可变变量获取了一个普通变量的值作为这个可变变量的变量名。 <?php $c='hello'; $$c='world'; ec...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值