PHP-Audit-Labs第一阶段学习总结

由于篇幅原因，源码详见 GITHUB源码链接。同时在这感谢红日安全的分享。因为笔者还是个菜鸡，所以有些地方难免有些错误，请各大佬斧正。同时本篇总结以代码审计为主，部分可能会弱化具体的攻击方法

DAY 1

程序本质	文件上传
漏洞本质	函数缺陷导致的任意文件上传漏洞
缺陷函数	in_array函数
攻击类型	绕过检验

众所周知，php是弱类型语言，当未将in_array函数第三个参数设置为true时，默认进行宽松比较。所以函数在执行搜索项时，会将搜索值强制转换成数字类型。漏洞即在此产生。

攻击：
当我们创建一个文件名首数字为1-24之间的文件。即可通过in_array函数判断，导致任意文件上传漏洞。例：7shell.php

DAY 2

程序本质	用twig模板的点击获得传入链接程序
漏洞本质	函数缺陷导致的xss漏洞
缺陷函数	filter_var函数
攻击类型	绕过检验

程序采取了两种过滤：

1. Twig模板中的escape过滤。关于过滤详见：Twig中文文档
   这里面有一句话：Internally, escape uses the PHP native htmlspecialchars_ function for the HTML escaping strategy.
   意思是使用htmlspecialchars函数。即转义特殊字符为实体

2. get传入的值用filter_var函数过滤。 这里设置的参数为FILTER_VALIDATE_URL。即这里判断传入的是否是url。如果成功，返回已过滤的数据，失败返回false。（伪协议可以绕过此过滤）

针对这两种过滤，思路是使用不带特殊字符的xss payload。考虑伪协议绕过

攻