博客
关于我
2021-01-28
阅读量:305 次
发布时间:2019-03-01

本文共 1574 字,大约阅读时间需要 5 分钟。

PHP代码审计:绕过安全措施获取flag

作为一名安全研究人员,我最近在进行一项PHP代码审计任务,目标是找到如何绕过安全措施来获取flag。本文将详细描述我所发现的两个主要漏洞以及利用它们的步骤。

一、MD5三等号比较

首先,观察代码中的MD5比较逻辑:

$id = $_GET['id'];$gg = $_GET['gg'];if (md5($id) === md5($gg) && $id !== $gg) {    // 通过此条件}

这个逻辑似乎在检查两者是否有相同的MD5哈希值,但同时要求$id$gg不相等。理论上,这意味着即使$id$gg是不同的值,只要它们的MD5哈希值相同,就能通过这个检查。

但是,这里存在一个潜在的问题:如果$id$gg是数组,那么我们可以通过构造查询参数来绕过这个检查。例如:

?id[]=1&gg[]=2

这样,$id$gg都被解析为数组,每个元素分别是1和2。由于md5(1) === md5(2),所以条件将被满足。

二、是非数字判断

接下来,观察密码验证逻辑:

$passwd = $_POST['passwd'];if (!is_numeric($passwd)) {    if ($passwd == 1234567) {        // 成功验证    } else {        // 密码错误    }} else {    // 密码不是数字}

这个逻辑似乎在检查密码是否为数字,但后续又要求密码等于1234567。这里存在一个矛盾:如果密码不是数字,但等于1234567,那么它也能通过验证。

因此,通过构造一个非数字的密码但等于1234567,就可以绕过is_numeric检查。例如:

POST /flag.php?passwd=1234567

三、利用系统函数

在代码中,highlight_file函数被用来显示文件内容。然而,highlight_file可能可以被用来读取flag的位置。同时,system函数被用来执行外部命令:

system("nmap -T5 -sT -Pn --host-timeout 2 -F $host");

这里,nmap被用来对目标主机进行扫描。通过构造合适的参数,可以使用nmap将扫描结果写入文件。例如:

-host=172.17.0.2 -oG /tmp/result.txt

这样,扫描结果将被写入/tmp/result.txt文件中。

四、利用转义函数

在代码中,escapeshellargescapeshellcmd被用来对输入参数进行转义,以防止恶意代码注入。例如:

$host = escapeshellarg($host);$host = escapeshellcmd($host);

为了确保命令能够正确执行,输入参数需要被正确转义。例如:

$host = '172.17.0.2';$host = escapeshellarg($host); // 转义为 '172.17.0.2'$host = escapeshellcmd($host); // 转义为 '172.17.0.2\'

最终,system函数将执行:

curl '172.17.0.2\' -v -d a=1

这可以通过蚁剑进行解析并连接到目标服务器。

五、绕过安全措施的总结

  • MD5绕过:通过构造数组参数,绕过MD5检查。
  • 密码绕过:通过构造非数字但等于1234567的密码,绕过数字检查。
  • 系统函数利用:利用nmap将扫描结果写入文件,获取目标信息。
  • 转义函数:正确使用escapeshellargescapeshellcmd,确保命令安全执行。
  • 通过以上步骤,可以成功绕过代码中的安全措施,获取flag的位置并进一步攻击。

    转载地址:http://ahlx.baihongyu.com/

    你可能感兴趣的文章
    qt调用vs2008编写的dll动态库(隐式调用)
    查看>>
    Qt读取注册表默认值
    查看>>
    poj 1679 判断MST是不是唯一的 (次小生成树)
    查看>>
    POJ 1703 Find them, Catch them
    查看>>
    POJ 1703 Find them, Catch them 并查集
    查看>>
    POJ 1738 An old Stone Game(石子合并)
    查看>>
    POJ 1740 A New Stone Game(博弈)题解
    查看>>
    Qt网络编程之实例二POST方式
    查看>>
    POJ 1765 November Rain
    查看>>
    poj 1860 Currency Exchange
    查看>>
    POJ 1961 Period
    查看>>
    POJ 2019 Cornfields (二维RMQ)
    查看>>
    poj 2057 The Lost House 贪心思想在动态规划上的应用
    查看>>
    poj 2057 树形DP,数学期望
    查看>>
    poj 2112 最优挤奶方案
    查看>>
    Qt编写自定义控件12-进度仪表盘
    查看>>
    SpringBoot主启动原理在SpringApplication类《第六课》
    查看>>
    poj 2186 Popular Cows :求能被有多少点是能被所有点到达的点 tarjan O(E)
    查看>>
    POJ 2186:Popular Cows Tarjan模板题
    查看>>
    POJ 2229 Sumsets(递推,找规律)
    查看>>