ctf php代码审计 绕过,Bugku CTF 之代码审计解题记录

最新推荐文章于 2025-03-06 11:35:47 发布
转载 最新推荐文章于 2025-03-06 11:35:47 发布 · 1k 阅读 · 2
文章标签:

#ctf php代码审计 绕过

本文记录了在Bugku CTF平台上的代码审计题目,涉及extract变量覆盖、strcmp比较字符串漏洞、urldecode二次编码绕过、md5()函数、数组返回NULL绕过、弱类型整数大小比较绕过、sha()函数比较绕过、md5加密相等绕过、十六进制与数字比较、ereg正则%00截断、strpos数组绕过和数字验证正则绕过等技巧,解析了利用这些漏洞获取flag的方法。

前言

此笔记为在Bugku CTF平台上做代码审计题目的过程,也算是一篇wp吧

extract变量覆盖

extract($_GET):

$_GET:表示在传递参数时,URL通过get的方式传参,传输的数据以数组的形式封装在$_GET中

extract():从数组中将变量导入到当前的符号表。该函数使用数组键名作为变量名,数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量

file_get_contents():将整个文件读入一个字符串

trim()去除字符串两侧的空格或者指定字符trim(’string’,’string you want to delete’)

extract()函数的变量覆盖漏洞在于如果导入的数组中有与原来符号表中同名的变量,将会覆盖掉原有的变量,因此对于这道题,我们只需要构造payload?shiyan=&&flag=

此时我们就可以利用变量覆盖漏洞,使原有的flag漏洞的值被覆盖为空,再与我们传入的shiyan变量相比较,空等于空,因此得到flag

ef2dccb22b6c01b4461760053cf34af8.png

strcmp比较字符串

题目地址:

http://123.206.87.240:9009/6.php

5dea0da5476f6bd10b159110298ed765.png

由源码可以看出,题目通过GET方式传递参数a,然后将a和flag变量的值进行比较,若相等则输出flag的值。int strcmp(string str1,string str2)

如果str1小于str2返回0;如果两者相等返回0

这个函数存在一个漏洞就是当传入的参数不为字符串类型时,这个函数将发生错误,在php5.3之前,函数在显示错误信息后,将会返回0,因此我们可以传入payload?a[]=123

即可得到flag

48bde9c4190b2122ff18a84c52cf91d5.png

urldecode二次编码绕过int eregi(string pattern,string string,[array regs])

eregi()函数在一个字符串搜索指定模式的字符串。搜索不区分大小写,如果匹配成功则返回TRUE,否则返回FALSEurldecode()

urldecode()函数的作用就是将url编码后的字符串还原成原来的样子

因此这段代码的意思就是通过GET方式传入id参数,id的值不可以是hackerDJ,但是id的值在url解码后要为hackerDJ才可以得到flag,所以考虑用url二次编码绕过,在转换软件中对hackerDJ进行二次url编码后得到payload?id=%25%36%38%25%36%31%25%36%33%25%36%42%25%36%35%25%37%32%25%34%34%25%34%41

即可得到flag

9fd6220566b29a382bd29a98a7e749f1.png

md5()函数

题目地址:http://123.206.87.240:9009/18.php

题目源码如下:

c43b618abf6b731e1ccffc95647c8388.png

对题目中出现的函数

最低0.47元/天 解锁文章
哦日常
关注
CTF练习——代码审计
HasntStartIsOver的博客
06-04 1128
页面无返回值,也没有报错。说明通过了所有拦截,但是文件不存在或者是空白的。在source.php中展示了源代码,下面进行源码分析。源码中注释了source.php,直接访问该页面。一次尝试 payload =,最后获得flag。
CTF web题日常积累——代码审计题型
zhy的博客
03-27 4926
1.变量1 题目来源: https://ctf.bugku.com/challenges 这是一个入门的代码审计题,难度不大,主要在于看代码逻辑和正则。 题目链接直接打开便是一段php源码,直接观察这个代码。明显可以看到一个正则表达式,这个正则表达式意为匹配都是字母的串。 而这里明显光是正则表达式是不够的,继续仔细看,在最后有一个$$...
flag{网鼎杯之java代码审计入门} - file-in-java[ctf]
printwsl的博客
07-31 640
ctf之java代码审计入门,讲解详细!
CTF代码审计
weixin_43749601的博客
10-20 2629
extract变量覆盖 <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?> 1、extract()函数使用数组键名作为变量名,使用数组键值作为变量的值,当变量中有
CTF-代码审计-PHP
m0_74317362的博客
09-25 569
将代码复制到everedit中,可以看到乱码。要传参的变量名及其值都变了。
BugKuCtf-代码审计
qq_37779690的博客
02-28 386
1、extract变量覆盖 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'flag{xxx}'; } else { echo'Oh.no'; } } ?&gt; 定义和用法 ex...
Bugku-CTF-聪明的php
m0_52484587的博客
08-04 1095
传递一个参数,可能标记文件的文件名是随机的:于是传一下参,在原网页后面加上/?a=1,发现网页出现了变化3.传入参数,一般情况下是文件包含,或者命令执行,而这道题目比较新颖,使用的是php模板注入4.根据测试2*4=8,确定是smarty模板注入测试phpinfo()函数5.真的是百密一疏,过滤了好多的函数,好在没有把过滤6.没有发现flag,但是发现_12016文件,直接读一波,cat被过滤了,我是用的是more得到flag。
20210221CTF小记之bugkuCTF冬至红包(短标签绕过echo、eval代码注入漏洞、$$绕过特定字符限制)
qq_45290991的博客
02-22 2491
今天做了一道很恶心的题目,话不多说,先上结果图: 我们先来分析代码: 当没有用GET方法传入flag时,会显示Click here的链接。 点击链接会用GET方法传入一串字符串$exam,后面是当前时间的一串sha1哈希值。 判断传入的flag长度与$exam是否相同,不同则显示 长度不允许 第二个判断过滤了一大堆 第三个判断传入flag的值等于flag值的哈希值,正确就输出flag。用的是严格的三个等号的比较,我们flag都不知道,哈希值更不可能知道了,== 但容易发现此处存在任意代码.
BugkuCTF——最新web篇writeup(持续更新)
1匹黑马
11-16 4480
文章目录web2计算器web基础$_GETweb基础$_POST矛盾web3域名解析你必须让他停下变量1 web2 打开页面后F12查看源代码即可。 flag:KEY{Web-2-bugKssNNikls9100} 计算器 这里做了输入长度限制,F12选中输入框,修改长度限制即可。 flag:flag{CTF-bugku-0032} web基础$_GET 这里要理解超全局变量$_GET,只要我们传递的参数为what,并且内容为flag,即可输出flag。 flag:flag{bugku_get_su8
ctf中的php代码审计
qq_40273198的博客
05-04 3043
ctf题时,遇到审计题时可能会遇到,翻翻记录可以很快的找到脑洞。1.PHP$flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(file_get_contents($flag)); if($shiyan==$content) { echo'ctf{xxx}'; }...
Bugku CTF php代码审计
知识和信息将使你获得自由
05-03 465
其中8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92为hash("sha256",'123'.'456')生成。如果存在单有引号两边有数字或字符的字符串,构造admin'ddd,这样的字符串,模式匹配,得到1,然后加!得到假,这样返回false。preg_match("/[0-9a-zA-Z]'[0-9a-zA-Z]/", $str)) { //判断写反了,导致存在漏洞。
CTF-Web】php代码审计
最新发布
Raners_的博客
03-06 410
本文涉及intval 、md5弱比较 、cat的替代品 、空格的替代品。
CTFPHP代码审计1
bmth666的博客
03-10 4328
弱类型 $a==$b 等于 ture:如果类型转换后$a等于$b $a===$b 全等 ture:如果$a等于$b,并且他们的类型也相同 如果一个数值和一个字符串比较,那么会将字符串转换为数值 <?php var_dump(true==2);//true var_dump(true==0);//false var_dump(''==0);//true var_dump(0==false);/...
CTFPHP代码漏洞审计
weixin_43934591的博客
05-02 795
1、变量覆盖     extract造成的变量覆盖       extract($array)的作用是将数组键名作为变量名,使用数组键值作为变量值。它存在一个安全漏洞,若使用函数默认参数,那么如果数组中的某个键值在php代码中的某个变量名相同,那么就会覆盖这个变量。   &nbs...
PHP代码审计笔记(ctf)
qq_41738909的博客
03-08 295
字符串在没遇到字符前都是可以跟数字进行比较的,所以在传入的数的最后添加任意字符就可以绕过字符比较(在php8之后可能不允许这样了绕过is_numeric函数)就是array_search函数的执行逻辑其实就是对数组中的数据进行比较,如果满足相等就返回下标索引。可以用科学计数法如1e3>60000。
CTF-PHP审计
qq_53142368的博客
06-07 1114
来一篇刷题的文章: PHP原生类 源码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1
CTF-Web25(涉及简单的PHP代码审计-基础题)
→_→
09-28 1009
25.PHP大法 分析: PHP函数: eregi()函数 —— 不区分大小写的检查一个字符串里是否包含另外一个字符串;可以使用%00截断绕过,匹配数组的话会返回NULL(与本题无关),跟ereg()功能类似; <?php if(eregi("hackerDJ",$_GET[id])) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($.
ctfshow web5--php代码审计
Dream'
10-18 339
问题描述 问题解决 题目只有一段php代码,要读懂这段代码,首先要知道ctype_alpha和is_numeric这两个函数 去百度一下 所以这段代码的意思就是,通过get方式传入两个参数v1,v2,要求: 1. v1 只包含字符 2. v2只包含数字 3. v1和v2做md5散列运算后的值相同 这里传入v1=QNKCDZO&v2=240610708,得到flag 关于md5运算后值相同问题看我另一篇博客:md5值相同,但未计算md5的值不同的绕过...
CTF-Web15(涉及PHP代码审计-简单)
→_→
09-07 842
15.Once More 随便输入一个密码,check,显示:Invalid password 点击“View the source code” 查看到如下源码 <?php if (isset ($_GET['password'])) { if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE) { echo '<p>You password must be alphanumeric</p>';.
ctfPHP代码审计
12-31
### 关于CTF竞赛中的PHP代码审计 #### 常见漏洞分析 在处理用户输入时,如果未对数据进行适当验证或过滤,则可能导致安全风险。例如,在PHP环境中,当接收并反序列化来自用户的可控输入时,可能会触发对象注入攻击[^1]。 对于给定的例子`a:1:{s:6:"spoock";s:44:"|O:5:"lemon":1:{s:2:"hi";s:10:"phpinfo();";}}`,此字符串代表了一个经过序列化的数组结构,其中包含了可被实例化的类对象。一旦该串被传递至`unserialize()`函数处解析,便会创建相应的对象,并可能调用其内部方法——这里即为执行了`phpinfo()`命令。这表明程序存在潜在的对象注入缺陷,允许攻击者通过精心构造的数据来操控服务器端行为。 另一个值得注意的是MD5比较操作中存在的隐患。由于哈希碰撞的存在以及算法本身的单向特性,简单依赖MD5校验并不能确保两个变量完全相同。因此,在某些场景下(比如身份认证),仅依靠此类方式判断容易遭受伪造请求的威胁。 至于`strpos()`函数的应用不当也可能引发问题。假设开发者意图检测特定子串是否存在某字符串内却忽略了边界条件检查的话,那么就有可能让恶意参与者利用这一点绕过逻辑控制流实现非法访问资源的目的。此外,XXE(XML External Entity Injection)也是常见的Web应用层面上的安全挑战之一。它涉及到应用程序如何处理含有实体引用的XML文档。特别是当这些实体指向远程位置或是能够读取本地文件系统上的敏感信息时,便构成了严重的隐私泄露途径[^2]。 最后提到的一个例子展示了长度与数值范围之间的矛盾对比语句:`else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)`。这段代码试图同时限制密码字符数不超过7位且大于七位整数的最大值,显然是自相矛盾的设计错误[^3]。 ```php // 不推荐的做法 if ($_GET['input']){ $obj = unserialize($_GET['input']); // 存在安全隐患 } ``` 为了防止上述提及的各种类型的漏洞发生,建议采取如下措施: - 对所有外部提交的内容实施严格的白名单机制; - 避免直接使用未经消毒过的参数参与关键业务流程; - 使用更先进的加密技术代替老旧散列方案来进行完整性验证; - 定期审查第三方库版本更新情况以修补已知弱点; - 考虑启用OPcache等字节码缓存组件减少动态解释带来的性能损耗同时也降低了因频繁编译而暴露出来的风险面。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值