PHP代码审计系列(二)

PHP代码审计系列(二)

本系列将收集多个PHP代码安全审计项目从易到难,并加入个人详细的源码解读。此系列将进行持续更新。

strcmp比较字符串

源码如下


$flag = "flag";
if (isset($_GET['a'])) {  
    if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 

    //比较两个字符串(区分大小写) 
        die('Flag: '.$flag);  
    else  
        print 'No';  
}

?>

通读代码逻辑如下:

首先判断是否存在GET请求参数a

若存在使用strcmp函数比较a与flag是否相等,若相等则输出flag退出脚本

输入正确的flag,但我们是不知道flag的值的

PHP代码审计系列(二)_第1张图片

利用strcmp函数的漏洞,当传入非字符串类型的数据这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,将return 0也就是会判断相等

PHP代码审计系列(二)_第2张图片

sha()函数比较绕过

源码如下



$flag = "flag";

if (isset($_GET['name']) and isset($_GET['password'])) 
{
    if ($_GET['name'] == $_GET['password'])
        echo '

Your password can not be your name!

'
; else if (sha1($_GET['name']) === sha1($_GET['password'])) die('Flag: '.$flag); else echo '

Invalid password.

'
; } else echo '

Login first!

'
; ?>

通读代码逻辑如下:

首先判断GET请求中是否存在name与password参数若都存在继续进行

然后判断name是否等于password若等于则失败

经过sha1加密===相等则输出flag

这题也是条件矛盾了,根据sha1的漏洞进行比较的绕过(md5函数也存在)。

传入非字符串类型使得sha1函数返回错误为false,两个都这样操作就false===false条件成立

PHP代码审计系列(二)_第3张图片

SESSION验证绕过

源码如下



$flag = "flag";

session_start(); 
if (isset ($_GET['password'])) {
    if ($_GET['password'] == $_SESSION['password'])
        die ('Flag: '.$flag);
    else
        print '

Wrong guess.

'
; } mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000)); ?>

通读代码逻辑如下:

首先启动session

判断GET请求是否携带password如果携带则继续

判断password与session中存储的password是否一致,一致则输出flag

使请求与session中存储的 password一致即可

http://localhost/phpbugs/08.php?password=

密码md5比较绕过

源码如下



//配置数据库
if($_POST[user] && $_POST[pass]) {
    $conn = mysql_connect("********, "*****", "********");
    mysql_select_db("phpformysql") or die("Could not select database");
    if ($conn->connect_error) {
        die("Connection failed: " . mysql_error($conn));
} 

//赋值

$user = $_POST[user];
$pass = md5($_POST[pass]);

//sql语句

// select pw from php where user='' union select 'e10adc3949ba59abbe56e057f20f883e' # 

// ?user=' union select 'e10adc3949ba59abbe56e057f20f883e' #&pass=123456

$sql = "select pw from php where user='$user'";
$query = mysql_query($sql);
if (!$query) {
    printf("Error: %s\n", mysql_error($conn));
    exit();
}
$row = mysql_fetch_array($query, MYSQL_ASSOC);
//echo $row["pw"];

  if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {

//如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。


    echo "<p>Logged in! Key:************** </p>";
}
else {
    echo("<p>Log in failure!</p>");

  }
}
?>

通读代码逻辑如下:

首先判断POST请求中是否存在user与pass字段,若存在尝试连接数据库,连接失败结束脚本

之后对pass字段进行MD5加密赋值给变量$pass,user字段赋值给、$user

执行以下sql,如果未查询到结果结束脚本

select pw from php where user='$user'

若查询到数据结果,将执行mysql_fetch_array函数以关联数组形式返回数据查询结果

如果返回的数组中存在pw字段并且$pass等于数组中的pw字段输出flag

sql中存在注入,构造修改sql返回的pw结果集,payload如下

user=' union select 'e10adc3949ba59abbe56e057f20f883e'#&pass=123456

PHP代码审计系列(二)_第4张图片

urldecode二次编码绕过

源码如下


if(eregi("hackerDJ",$_GET[id])) {
  echo("

not allowed!

"
); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "hackerDJ") { echo "

Access granted!

"
; echo "

flag: *****************}

"
; } ?>

通读代码逻辑如下:

首先判断GET请求中是否存在id参数,若存在终止脚本

对id参数通过urldecode函数进行url解码

如果解码后的id等于hackerDJ则输出flag

对hackerDJ中的h进行二次url编码绕过

h对应的url编码未%68,%68url编码结果为%2568

PHP代码审计系列(二)_第5张图片

你可能感兴趣的:(从入门到入狱,php,服务器,开发语言,后端,web安全)