【PHP弱口令、加密函数、绕过函数】/CTF代码审计题
原文链接:https://blog.csdn.net/wy_97/java/article/details/79088218
1、判等类型
1.1、"“与”="比较漏洞/switch
如果你认为"=="和"==="最大的区别在于,"=="是判断数值是否相等,"==="则是判断数值和类型是否相等,那就错了,这并没有说到最核心的一个关键点,要知道"=="最可怕的一点是,如果类型不同的进行比较,其会将类型转换成相同的再进行比较
<?php
var_dump("admin" ==0);
var_dump("1admin" ==1);
var_dump("2admin" ==2);
var_dump("admin1" ==1);
var_dump("admin1" ==0);
var_dump("0e123456" =="0e4456789");
?>
#bool(true)
bool(true)
bool(true)
bool(false)
bool(true)
bool(true)
[Finished in 2.9s]
"0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0乘以10的无论多少次方都是零,所以相等
当一个字符串欸当作一个数值来取值,其结果和类型如下:
- 如果该字符串没有包含'.','e','E'并且其数值值在整形的范围之内,该字符串被当作int来取值,其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值
- 如果该字符串以合法的数值开始,则使用该数值,否则其值为0
<?php
var_dump(1+"admin1");
var_dump(1+"1admin");
var_dump(1+"2e2");
var_dump(1+"-2e2");
var_dump(1+"hh-2e2");
var_dump(1+"1hh-2e2");
?>
#int(1)
int(2)
float(201)
float(-199)
int(1)
int(2)
[Finished in 0.3s]
switch 同等原理的利用,这里不再做解释:
<?php
$a = "2admin";
switch ($a) {
case '1':
echo "1";
break;
case '2':
echo "2";
break;
default:
echo "3";
break;
}
?>
#3[Finished in 0.4s]
1.2、bool类型的true比较
bool 类型的 true 跟任意字符串可以弱类型相等
<?php
if(true == "GETF"){
echo "OK";
}
?>
#OK[Finished in 0.3s]
1.3、strcmp比较漏洞
注意 VERSION > 5.3 的官方文档
Note a difference between 5.2 and 5.3 versions echo (int)strcmp('pending',array()); will output -1 in PHP 5.2.16 (probably in all versions prior 5.3) but will output 0 in PHP 5.3.3 Of course, you never need to use array as a parameter in string comparisions.
所以说5.3版本后对输入参数错误(数组)会返回0,从正常返回逻辑来说,也可以解释为相等
1.4、sha1加密比较
<?php
$_GET['name'] == $_GET['password']
sha1($_GET['name']) === sha1($_GET['password'])
#要求满足上述条件
?>
其实最简单的是报错,false,至于为什么,其实仔细研究 SHA1 加密你就发现,其要求参数不能为数组,那我将传入的参数改成数组,两边 return 的结果不就都为 false,从而,满足不等与相等了么。实现步骤更简单,bp中将传参变量 name,password 加个[]即可
1.5、MD5加密比较
- 类型1
<?php
$_GET['name'] != $_GET['password']
MD5($_GET['name']) == MD5($_GET['password'])
#要求满足上述条件
?>
特殊子串举例如下:
240610708、QNKCDZO、aabg7XSs、aabC9RqS
其实就是利用了==的那个原理:"0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0乘以10的无论多少次方都是零,所以相等
这类特殊子串加密的结果都是0e开头的
- 类型2
<?php
if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
die("success!");
}
?>
使用了强等于,那么使用数组绕过,利用 error === error
param1[]=1¶m2[]=2
- 类型3
<?php
if((string)$_POST['param1']!==(string)$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
die("success!);
}
?>
Param1 = %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
Param2 = %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
MD5值相同使用谷歌可以搜到相当多被巧妙构造出的二进制文件,其MD5相同,注意一点,post时一定要urlencode!!!
2、变量覆盖漏洞
2.1、遍历初始化变量
如以下的示例代码,使用 foreach 来遍历数组中的值,然后再将获取到的数组键名作为变量,数组中的键值作为变量的值。因此就产生了变量覆盖漏洞。若提交参数 chs,则可覆盖变量 "$chs" 的值。
注意:在代码审计时需要注意类似“$$k”的变量赋值方式有可能覆盖已有的变量,从而导致一些不可控制的结果。
<?
$chs = '';
if($_POST && $charset != 'utf-8'){
$chs = new Chinese('UTF-8', $charset);
foreach($_POST as $key => $value){
$$key = $chs->Convert($value);
}
unset($chs);
}
?>
2.2、parse_str()变量覆盖
<?php
//var.php?var=new
$var='init';
parse_str($_SERVER['QUERY_STRING']); #parse_str — 将字符串解析成多个变量,如果参数str是URL传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域。
print $var;
?>
$_SERVER['QUERY_STRING'] 的具体详细解释可以参考这里
2.3、import_request_variables变量覆盖
<?php
$auth = '0';
import_request_variables('G'); #import_request_variables — 将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。
if($auth == 1){
echo "private!";
}else{
echo "public!";
}
?>
当用户访问链接为 www.xxx.com/test.php?auth=aaa 时就会出现变量覆盖问题
2.4、extract()变量覆盖
<?php
$auth = '0';
extract($_GET);
if($auth==1){
echo "private!";
}else{
echo "public!";
}
?>
extract(array,extract_rules,prefix)
#函数从数组中将变量导入到当前的符号表,该函数使用数组键名作为变量名,使用数组键值作为变量值。
当用户访问链接为 www.xxx.com/test.php?auth=aaa 时就会出现变量覆盖问题,安全的做法是确定register_globals=OFF 后,在调用 extract() 时使用 EXTR_SKIP 保证已有变量不会被覆盖
3、其他
3.1、ereg正则%00截断
ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE
如果在 string 中找到 pattern 模式的匹配则返回 所匹配字符串的长度,如果没有找到匹配或出错则返回 FALSE。如果没有传递入可选参数 regs 或者所匹配的字符串长度为 0,则本函数返回 1。
ereg() 函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回 true ,否则,则返回 false 。搜索字母的字符是大小写敏感的。
- Eregi 匹配可以用 %00 截断
- Eregi 匹配可用数组绕过
ereg 是处理字符串,传入数组之后,ereg 是返回 NULL
注意:This function was DEPRECATED in PHP 5.3.0, and REMOVED in PHP 7.0.0. 即,PHP7中已经被移除
3.2、in_array()强转类型
<?php
$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true
?>
注意:在所有php认为是int的地方输入string,都会被强制转换