CTFshow web93-104关

这周要学习的是php代码审计 根据师兄的作业 来做web入门的93-104关

93关

看代码 进行分析

CTFshow web93-104关_第1张图片

他的主函数


include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }

 解析:

输入一个变量 num 进行get传参 如果num=4476 返回错误 

传入num 用函数preg_match进行匹配,如果匹配到则返回错误

再根据intval函数的取整的特性,传入payload:?num=4476.1/?num=010574(加0是因为intval 函数检测时字符串以 "0" 开始,使用 8 进制)

知识点:

php中使用两个等号“==” 比较,只比较值,不比较类型(两个等号是弱类型比较,他会将两边自动转换为同一种类型后再进行比较。所以他比较的就只是值 ,不比较类型。)

intval 函数用于获取变量的整数值,intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。

如果 base 是 0,通过检测 var 的格式来决定使用的进制:

  • 如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);否则,
  • 如果字符串以 "0" 开始,使用 8 进制(octal);否则,
  • 将使用 10 进制 (decimal)。

实例:

CTFshow web93-104关_第2张图片

CTFshow web93-104关_第3张图片

94关

CTFshow web93-104关_第4张图片

 只比93关多了一个  !strpos($num, "0")

知识点:

strpos() 函数查找字符串在另一字符串中第一次出现的位置(区分大小写)。

CTFshow web93-104关_第5张图片

解析:

我们还是可以利用8进制进行绕过或者小数绕过,但是因为strpos函数特性 要在8进制前加+或者加空格 ,小数应该是0 payload:?num=4476.0/?num=+010574

CTFshow web93-104关_第6张图片

95关

CTFshow web93-104关_第7张图片

解析:

  if(preg_match("/[a-z]/i", $num)){

 if(preg_match("/[a-z]|\./i", $num)){  95关

与之前不同的地方在正则匹配这里,多了一个. 其他的没变

还是用之前的payload:?num=+010574

CTFshow web93-104关_第8张图片

96关

 CTFshow web93-104关_第9张图片

知识点:

这题看到了flag.php 应该是让我们找文件路径的题,找文件路径可以用

php伪协议filter

/var/www/html/flag.php(/var/www/html 只是Web服务器的默认根文件夹)

./flag.php(在linux下面表示当前目录是 "./" " . ./"代表上一层目录 “/”:代表根目录.)

解析:

payload:/var/www/html/flag.php    ./flag.php    php://filter/resource=flag.php

php://filter/read=convert.base64-encode/resource=flag.php (base64编码的伪协议使用)

CTFshow web93-104关_第10张图片

97关

CTFshow web93-104关_第11张图片

 知识点:

属于php md5强比较绕过

在 php 中,=== 代表着强比较,不仅仅会比较值,还会比较类型。因此这里不能在使用上面的方式进行绕过了。

要绕过此处的比较,需要向 md5() 函数中传入数组,md5() 函数中如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面null=null为 True 绕过。

解析:

因此这里可以使用数组绕过

payload:a[]=1&b[]=2

是post传参而不是get传参

CTFshow web93-104关_第12张图片

98关

CTFshow web93-104关_第13张图片

知识点:

php三元换算符

CTFshow web93-104关_第14张图片

解析:

 $_GET?$_GET=&$_POST:'flag' 如果存在GET请求,则用POST请求传入的值将其覆盖掉.

$_GET['HTTP_FLAG']=='flag'?$flag:__FILE__ GET传入的HTTP_FLAG的值为flag,则输出flag.

所以POST:HTTP_FLAG=flag;GET随便传什么都行.

CTFshow web93-104关_第15张图片

 CTFshow web93-104关_第16张图片

99关

CTFshow web93-104关_第17张图片

 知识点:

array函数

CTFshow web93-104关_第18张图片

array_push函数

CTFshow web93-104关_第19张图片

 in_array函数CTFshow web93-104关_第20张图片

file_put_contents() 函数把一个字符串写入文件中。

该函数访问文件时,遵循以下规则:

  1. 如果设置了 FILE_USE_INCLUDE_PATH,那么将检查 *filename* 副本的内置路径
  2. 如果文件不存在,将创建一个文件
  3. 打开文件
  4. 如果设置了 LOCK_EX,那么将锁定文件
  5. 如果设置了 FILE_APPEND,那么将移至文件末尾。否则,将会清除文件的内容
  6. 向文件中写入数据
  7. 关闭文件并对所有文件解锁

如果成功,该函数将返回写入文件中的字符数。如果失败,则返回 False。

CTFshow web93-104关_第21张图片

解析:

通过看这三个函数,知道了$allow = array()是设置了数组

0x36d是877的十六进制。for语句是一个循环结构,$i从36开始,每次与877作比较,只要小于877,则让$i加1。每次for语句执行成功,也就是加1都会执行下面的array_push函数。

array_push($allow, rand(1,$i))在1-$i之间随机生成一个整数,添加到数组$allow尾部

if(isset($_GET['n']) && in_array($_GET['n'], $allow)) 从这里可以看出in_array函数使用的是弱比较 因为他没有设置第三个参数为true 所以我们传入1.php就相当于传入了1 这里也是这题的主要考点

file_put_contents($_GET['n'], $_POST['content']); 这句话就是get传参并用post传入内容

所以post就可以传入命令执行语句,get传入1.php就可以绕过,因为数字1正好在 range(1,24)数组中,当随机生成的数字正好是1时就可以绕过 in_array()函数判断

解析:

payload: get: ?n=1.php   post:  content=

传入以后就可以找到1.php的页面执行命令找到了存放flag的文件

CTFshow web93-104关_第22张图片

再用2.php读取flag文件

CTFshow web93-104关_第23张图片

 CTFshow web93-104关_第24张图片

100关

CTFshow web93-104关_第25张图片

 知识点:

考察的是运算符的优先级  :&& > || > = > and > or

运算符优先级的划分如下:

()小括号优先级最高

! 优先级高于 算术运算符

算术运算符 优先级高于 关系运算符

关系运算符优先级高于 "&&"和"||"

"&&"和"||"优先级高于 "="

运算符的种类还有很多,在往后的学习中我们就会慢慢地接触到,所以,在同一行代码中,

如果出现多种不同优先级的运算符时,最好还是加上小括号,这样才会比较直观。

(3)同等优先级的运算符,执行顺序的划分:

算术运算符 —— 乘法、除法、取余运算 优先级高于 加法、减法。

算术运算符 —— 乘法、除法、取余运算 出现在同一行代码中,则按从左到右的顺序执行。

算术运算符 —— 加法、减法, 出现在同一行代码中,则按从左到右的顺序执行。

关系运算术——出现在同一行代码中,按从左往右顺序执行。

 

CTFshow web93-104关_第26张图片​ 

 解析:

is_numeric函数 用于检测变量是否为数字或数字字符串

$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3); 关键在这句

因为=比and优先 所以v0的值是v1赋的 所以v0=is_numeric($v1) 看到代码后面有eval函数

想到命令执行

这需要$v2传入命令,$v3需要;结尾,但这么一来is_numeric一处理就变成了

$vo = $v1 and FALSE and FAlse

if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3))

再根据这两句,v2必须没有;v3必须

payload: /?v1=1&v2=system('ls')&v3=;

CTFshow web93-104关_第27张图片

找到了包含flag的文件 但是点开什么都没有 打开ctfshow.php看看

/?v1=1&v2=system('tac ctfshow.php')&v3=;     (这里用tac的原因是发现cat不行然后换了一下)

CTFshow web93-104关_第28张图片

发现了flag 0x2d是16进制的- 转换一下就好了

101关

 CTFshow web93-104关_第29张图片

不一样的地方在于把v2 v3的条件给改了

if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){

知识点

新学习到了反射

反射,通俗来讲就是可以通过一个对象来获取所属类的具体内容,php中内置了强大的反射API:

    ReflectionClass:一个反射类,功能十分强大,内置了各种获取类信息的方法,创建方式为new ReflectionClass(str 类名),可以用echo new ReflectionClass(‘className’)打印类的信息。

    ReflectionObject:另一个反射类,创建方式为new ReflectionObject(对象名)。

 

API:API 就是应用程序编程接口。它是能用来操作组件、应用程序或者操作系统的一组函数

php反射类_php 反射类_raoxiaoya的博客-CSDN博客具体的可以看这个大佬的博客 就不做具体说明了

所以我们在这里可以直接用反射类的方法来做这道题

解析:

payload:?v1=1&v2=echo new ReflectionClass&v3=;

CTFshow web93-104关_第30张图片

这里的flag是少了一位的 可以用bp抓包爆破 也可以一个一个字符尝试

102关

 CTFshow web93-104关_第31张图片

 知识点:

substr() 函数返回字符串的一部分。

注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。

CTFshow web93-104关_第32张图片 call_user_func():调用一个回调函数处理字符串,
可以用匿名函数,可以用有名函数,可以传递类的方法,
用有名函数时,只需传函数的名称
用类的方法时,要传类的名称和方法名
传递的第一个参数必须为函数名,或者匿名函数,或者方法
其他参数,可传一个参数,或者多个参数,这些参数会自动传递到回调函数中
而回调函数,可以通过传参,获取这些参数
返回回调函数处理后的结果

【php】php中call_user_func函数的用法_call_user_func用在什么时候_yanhui_wei的博客-CSDN博客

解析:

通过变量v1调用hex2bin函数将变量v2的16进制字符串转换成原来的base64编码形式(因为这里v2只使用数字 并且是在第二位之后即第三位开始读取suo'y)
echo $str;    file_put_contents($v3,$str);
通过使用php://filter伪协议写入webshell

get传参v2和v3,post传参v1;if中需要v4为真才能往下执行,而v4要为真就是v2传的参数要为数字或者数字字符串,同时v2也是我们要写入的webshell,为了让v2为数字或者数字字符串,我们可以先把我们的webshell转换为base64编码,再把base64编码转换为16进制,这是一种办法去转换成数字。

payload:

get:?v2=005044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

post: v1=hex2bin

(

CTFshow web93-104关_第33张图片

 

在访问1.php 得到flag

CTFshow web93-104关_第34张图片

 103关

CTFshow web93-104关_第35张图片

看代码发现和102关没什么区别 该绕过的都用base64以及16进制绕过了 可以沿用102关的payload

CTFshow web93-104关_第36张图片

都是在页面的源代码里找到的flag

104关

CTFshow web93-104关_第37张图片

 知识点:

sha1()函数特性,sha1函数无法处理数组,遇到数组会返回NULL

解析:

get传入v2 post传入v1 让两个变量的sha1值相等 用的是弱比较

payload: get: v2[]=1  post: v1[]=1

CTFshow web93-104关_第38张图片

得到flag

php代码审计作业题到此结束 通过这些题也找到了代码审计方面的做题思路,一些不认识的函数也认识了不少 但是不足也很明显,好多函数的特性并没有了解过,看到简单的代码还行 如果有复杂的代码还是头大 欠缺的地方很多 到实际的时候也没有那么多时间让你去查函数  还是要花功夫去记函数的

 

 

你可能感兴趣的:(android)