前言:學長帶着我們學習了一些PHP弱類型,現在總結記一下。
目錄:
0×01.extract函數變量覆蓋
0×02.strcmp函數數組漏洞
0×03.urldecode二次密碼繞過
0×04.md5函數加密
0×05.sha()函數比較繞過
0×06.數組返回NULL繞過
0×07.弱類型整數大小比較繞過
以下題目來源BugkuCTF
0×01.extract函數變量覆蓋
<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))
{
$content=trim(file_get_contents($flag));
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>
裏面有很多函數是我沒見過的,先了解一下。
extract() 函數從數組中將變量導入到當前的符號表。
該函數使用數組鍵名作爲變量名,使用數組鍵值作爲變量值。針對數組中的每個元素,將在當前符號表中創建對應的一個變量。
漏洞:
isset() 函數用於檢測變量是否已設置並且非 NULL。
如果已經使用 unset() 釋放了一個變量之後,再通過 isset() 判斷將返回 FALSE。
若使用 isset() 測試一個被設置成 NULL 的變量,將返回 FALSE。
同時要注意的是 null 字符("\0")並不等同於 PHP 的 NULL 常量。
trim() 函數移除字符串兩側的空白字符或其他預定義字符。
file_get_contents() 函數把整個文件讀入一個字符串中。
漏洞:當()裏是變量的話,會返回爲空值。
運算符的瞭解:
首先,我們傳入的函數經過extract函數處理,if語句判斷是否存在shiyan變量,file_get_contents() 處理的是flag會返回空值,即content=空值。要想拿到flag,我們就需要讓shiyan也爲空值,但這並不能看到變量的覆蓋。
我們傳入的shiyan= ,即將原來的shiyan的覆蓋爲空值,同時我們傳入flag= ,覆蓋原來flag的值爲空,就可以拿到flag了,這題有點小毛病。
0×02.strcmp函數數組漏洞
<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小於 str2 返回 < 0; 如果 str1大於 str2返回 > 0;如果兩者相等,返回 0。
//比較兩個字符串(區分大小寫)
die('Flag: '.$flag);
else
print 'No';
}
?>
看到不懂的函數就去問度娘
die() 函數輸出一條消息,並退出當前腳本。
int strcmp ( string $str1 , string $str2 )
參數 str1第一個字符串。str2第二個字符串。
如果 str1 小於 str2 返回 < 0;
如果 str1 大於 str2 返回 > 0;
如果兩者相等,返回 0。
我們要想拿到flag,就需要str1=str2,但是flag的長度我們也不知道,這個時候我們就不能走尋常路了:
在這裏strcmp函數有漏洞只需將get傳入進來的變爲數組就行了。
注:這一個漏洞適用與5.3之前版本的php。
flag到手。
0×03.urldecode二次密碼繞過
代碼奉上:
<?php
if(eregi("hackerDJ",$_GET[id])) {
echo("
not allowed!
");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "
Access granted!
";
echo "
flag
";
}
?>
eregi()函數在由模式指定的字符串中搜索指定的字符串,搜索不區分大小寫。
exit() 函數輸出一條消息,並退出當前腳本。
我們傳入的id會被eregi函數與hackerDJ比較,相同的話直接就GG了。
所以我往下面看,我們傳入的id經過一次url解碼等於hackerDJ的話就可以拿到flag,但是瀏覽器還會給我們解碼一次,這就意味着我們需要給hackerDJ編碼兩次,就能拿到flag。
0×04.md5函數加密
<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password'])
print 'Your password can not be your username.';
else if (md5($_GET['username']) === md5($_GET['password']))
die('Flag: '.$flag);
else
print 'Invalid password';
}
?>
我們要知道md5函數加密在低版本中是無法處理數組的(但是md5處理數組時會返回空值)。
那麼突破口就來了,但是:
兩個返回的都是null,自然是相同的,但是代碼中又要求我們不相同。
emmmmmmm,思考一下。
這樣值就不一樣了,flag到手!
0×05.sha()函數比較繞過
<?php
$flag = "flag";
if (isset($_GET['name']) and isset($_GET['password']))
{
var_dump($_GET['name']);
echo "
";
var_dump($_GET['password']);
var_dump(sha1($_GET['name']));
var_dump(sha1($_GET['password']));
if ($_GET['name'] == $_GET['password'])
echo '
Your password can not be your name!
';
else if (sha1($_GET['name']) === sha1($_GET['password']))
die('Flag: '.$flag);
else
echo '
Invalid password.
';
}
else
echo '
Login first!
';
?>
這sha1函數加密,繞過方式和MD5一樣,這裏就不詳講了。
sha1()函數無法處理數組類型,將報錯並返回false。
flag奉上!
0×06.數組返回NULL繞過
<?php
$flag = "flag";
if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
echo 'You password must be alphanumeric';
else if (strpos ($_GET['password'], '--') !== FALSE)
die('Flag: ' . $flag);
else
echo 'Invalid password';
}
?>
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
ereg函數會對你傳入的password從a-z,A-Z,0-9 進行匹配,將你的密碼限制在這三種字符中。
ereg()函數用指定的模式搜索一個字符串中指定的字符串,如果匹配成功返回true,否則,則返回false。搜索字母的字符是大小寫敏感的。
ereg()限制password的格式,只能是數字或者字母。但ereg()函數存在NULL截斷漏洞,可以使用%00繞過驗證。
這裏ereg有兩個漏洞:
①%00截斷及遇到%00則默認爲字符串的結束
②當ntf爲數組時它的返回值不是FALSE
這個漏洞沒有使用到。
strpos — 查找字符串首次出現的位置
作用:主要是用來查找字符在字符串中首次出現的位置。
strpos()如果傳入數組,會返回NULL(和MD5,sha1類似無法處理數組,返回值爲NULL)
思路就出來了:
嘿嘿嘿,flag到手。
0×07.弱類型整數大小比較繞過
$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;
if($temp>1336){
echo $flag;
簡單明瞭
is_numeric() 函數用於檢測變量是否爲數字或數字字符串。
我們傳入的值會被is_numeric函數進行檢測,如果爲數字就直接輸出no numeric,所以我們要後者使其返回爲NULL,並且大於1366.
這就結束了? 對的
未完待續…