[代码审计]PHP_Bugs题目总结(2)

写的有点多了，上一篇放在一起显得有点臃肿，就再起一篇吧~

迷路的老铁点这里：[代码审计]PHP_Bugs题目总结(1)

0x14 intval函数四舍五入

<?php
if($_GET[id]) {
mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
mysql_select_db(SAE_MYSQL_DB);
$id = intval($_GET[id]); ## 这里过滤只有一个intval
$query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));
if ($_GET[id]==1024) {
    echo "<p>no! try again</p>";
    }
  else{
    echo($query[content]);
  }
}

payload:?a=1024.1

intval 函数最大的值取决于操作系统:

32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。
64 位系统上，最大带符号的 integer 值是 9223372036854775807。

浮点数精度忽略

if ($req["number"] != intval($req["number"]))

在小数小于某个值（10^-16）以后，再比较的时候就分不清大小了。 输入number = 1.00000000000000010, 右边变成1.0, 而左与右比较会相等

0x15 截断

15.1 iconv 异常字符截断

因iconv遇到异常字符就不转后面的内容了，所以可以截断。

$a='1'.char(130).'2';
echo iconv("UTF-8","gbk",$a); //将字符串的编码从UTF-8转到gbk
echo iconv('GB2312', 'UTF-8', $str); //将字符串的编码从GB2312转到UTF-8

这里chr(128)到chr(255)都可以截断

15.2 eregi、ereg可用%00截断

功能：正则匹配过滤 条件：要求php<5.3.4

15.3 move_uploaded_file 用\0截断

5.4.x<= 5.4.39, 5.5.x<= 5.5.23, 5.6.x <= 5.6.7 原来在高版本（受影响版本中），PHP把长度比较的安全检查逻辑给去掉了，导致了漏洞的发生 cve： https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2348

move_uploaded_file($_FILES['x']['tmp_name'],"/tmp/test.php\x00.jpg")

上传抓包修改name为a.php\0jpg（\0是nul字符），可以看到$_FILES[‘xx’][‘name’]存储的字符串是a.php，不会包含\0截断之后的字符，因此并不影响代码的验证逻辑。

但是如果通过$_REQUEST方式获取的，则可能出现扩展名期望值不一致的情况，造成“任意文件上传”。

15.4 inclue用?截断

<?php
$name=$_GET['name'];  
$filename=$name.'.php';  
include $filename;  
?>

当输入的文件名包含URL时，问号截断则会发生，并且这个利用方式不受PHP版本限制，原因是Web服务其会将问号看成一个请求参数。

测试POC：

http://127.0.0.1/test/t1.php?name=http://127.0.0.1/test/ddd.txt? 

则会打开ddd.txt中的文件内容。本测试用例在PHP5.5.38版本上测试通过。

0x16 strpos数组与ereg正则

这个就不讲了，上面有类似的。一个用数组构成NULL，或者用%00去截断ereg

0x17 SQL注入or绕过

这个看着有点乱，有时间再整理。

0x18 十六进制与数字比较

<?php

error_reporting(0);
function noother_says_correct($temp)
{
    $flag = 'flag{test}';
    $one = ord('1');  //ord — 返回字符的 ASCII 码值
    $nine = ord('9'); //ord — 返回字符的 ASCII 码值
    $number = '3735929054';
    // Check all the input characters!
    for ($i = 0; $i < strlen($number); $i++)
    { 
        // Disallow all the digits!
        $digit = ord($temp{$i});
        if ( ($digit >= $one) && ($digit <= $nine) )
        {
            // Aha, digit not allowed!
            return "flase";
        }
    }
    if($number == $temp)
        return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);

?>

这里，它不让输入1到9的数字，但是后面却让比较一串数字，平常的方法肯定就不能行了。

在php里面，0x开头则表示16进制，将这串数字转换成16进制之后发现，是deadc0de，在开头加上0x，代表这个是16进制的数字，然后再和十进制的 3735929054比较，答案当然是相同的，返回true拿到flag

0x19 数字验证正则绕过

<?php
error_reporting(0);
$flag = 'flag{test}';
if  ("POST" == $_SERVER['REQUEST_METHOD'])
{
    $password = $_POST['password'];
    if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 执行一个正则表达式匹配
    {
        echo 'Wrong Format';
        exit;
    }
    while (TRUE)
    {
        $reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
        if (6 > preg_match_all($reg, $password, $arr))
            break;
        $c = 0;
        $ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字  [[:upper:]] 任何大写字母  [[:lower:]] 任何小写字母
        foreach ($ps as $pt)
        {
            if (preg_match("/[[:$pt:]]+/", $password))
                $c += 1;
        }
        if ($c < 3) break;
        //>=3，必须包含四种类型三种与三种以上
        if ("42" == $password) echo $flag;
        else echo 'Wrong password';
        exit;
    }
}
?>

逐步看一下：

0 >= preg_match('/^[[:graph:]]{12,}$/', $password) 意为必须是12个字符以上（非空格非TAB之外的内容）

$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/'; 
if (6 > preg_match_all($reg, $password, $arr)) 

意为匹配到的次数要大于6次

$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何标点符号 [[:digit:]] 任何数字  [[:upper:]] 任何大写字母  [[:lower:]] 任何小写字母 
foreach ($ps as $pt) 
{ 
    if (preg_match("/[[:$pt:]]+/", $password)) 
        $c += 1; 
} 
if ($c < 3) break; 

意为必须要有大小写字母，数字，字符内容三种与三种以上

if ("42" == $password) echo $flag; 

答案：

42.00e+00000000000 
或
420.000000000e-1

我太难了~

0x20 弱类型整数大小比较绕过

前几天有些过弱类型的总结：

[代码审计]php弱类型总结

0x21 md5函数验证绕过

if(md5($temp)==0) 要使md5函数加密值为0

方法一： 使password不赋值，为NULL，NULL == 0为true http://127.0.0.1/php_bug/23.php?password= http://127.0.0.1/php_bug/23.php

方法二： 经过MD5运算后，为0e*****的形式，其结果为010的n次方，结果还是零 http://127.0.0.1/php_bug/23.php?password=240610708 http://127.0.0.1/php_bug/23.php?password=QNKCDZO

0x22 md5函数true绕过注入

这道题就只看这一句话：

$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

md5($password,true) 的作用就是将md5后的hex转换成字符串

如果包含'or'xxx这样的字符串，那整个sql变成：

SELECT * FROM admin WHERE pass = ''or'xxx'

这就相当于自己转换成了一个万能密码....

字符串：ffifdyop
md5后，276f722736c95d99e921722cf9ed621c hex转换成字符串： 'or'6<trash> 

0x23 switch没有break 字符与0比较绕过

这道原题，我做了一下，发现好像有点问题，暂时还没做出一个优化后的题目，先说一下小知识点：

归总于一句话：

PHP中非数字开头字符串和数字 0比较==都会返回True

===会比较类型

<?php
$str="s6s";
if($str==0){ echo "返回了true.";}
?>

要字符串与数字判断不转类型方法有：

方法一： $str="字符串";if($str===0){ echo "返回了true.";}
方法二： $str="字符串";if($str=="0"){ echo "返回了true.";} ,

0x24 unserialize()序列化

关于php序列化的问题，我再前面几篇博客里有些过总结，这里也差不多是类似的：

阅读代码，理下思路：

flag在pctf.php，但showimg.php中不允许直接读取pctf.php，只有在index.php中可以传入变量class ；index.php中Shield类的实例$X = unserialize($g)，$g = $_GET['class'];

$X中不知$filename变量，但需要找的是：$filename = "pctf.php"，现$X已知，求传入的class变量值。

可以进行序列化操作：

<!-- answer.php -->
<?php

require_once('shield.php');
$x = class Shield();
$g = serialize($x);
echo $g;

?>

<!-- shield.php -->
<?php
    //flag is in pctf.php
    class Shield {
        public $file;
        function __construct($filename = 'pctf.php') {
            $this -> file = $filename;
        }
        
        function readfile() {
            if (!empty($this->file) && stripos($this->file,'..')===FALSE  
            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {
                return @file_get_contents($this->file);
            }
        }
    }
?>

得到： O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}

构造：http://web.jarvisoj.com:32768/index.php?class=O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}

0x25 利用提交数组绕过逻辑

<?php 
$role = "guest";
$flag = "flag{test_flag}";
$auth = false;
if(isset($_COOKIE["role"])){
    $role = unserialize(base64_decode($_COOKIE["role"]));
    if($role === "admin"){
        $auth = true;
    }
    else{
        $auth = false;
    }
}
else{
    $role = base64_encode(serialize($role));
    setcookie('role',$role);
}
if($auth){
    if(isset($_POST['filename'])){
        $filename = $_POST['filename'];
        $data = $_POST['data'];
        if(preg_match('[<>?]', $data)) {
            die('No No No!'.$data);
        }
        else {
            $s = implode($data);
            if(!preg_match('[<>?]', $s)){
                $flag='None.';
            }
            $rand = rand(1,10000000);
            $tmp="./uploads/".md5(time() + $rand).$filename;
            file_put_contents($tmp, $flag);
            echo "your file is in " . $tmp;
        }
    }
    else{
        echo "Hello admin, now you can upload something you are easy to forget.";
        echo "<br />there are the source.<br />";
        echo '<textarea rows="10" cols="100">';
        echo htmlspecialchars(str_replace($flag,'flag{???}',file_get_contents(__FILE__)));
        echo '</textarea>';
    }
}
else{
    echo "Sorry. You have no permissions.";
}
?>

首先是给了一个页面，提示 Sorry. You have no permissions.

查看 cookie 发现是 base64 。解密之后替换中间的 guest 为 admin 绕过登陆限制。

看下面这段代码：

if($auth){
    if(isset($_POST['filename'])){
        $filename = $_POST['filename'];
        $data = $_POST['data'];
        if(preg_match('[<>?]', $data)) {
            die('No No No!');
        }
        else {
            $s = implode($data);
            if(!preg_match('[<>?]', $s)){
                $flag="None.";
            }
            $rand = rand(1,10000000);
            $tmp="./uploads/".md5(time() + $rand).$filename;
            file_put_contents($tmp, $flag);
            echo "your file is in " . $tmp;
        }
    }

这段代码首先会查看提交的请求中是否存在 <> 如果没有则将传入的数据(如果是数组)转化为字符串。

如果其中存在 <> 则将flag生成在一个随机命名的文件中。

implode() 这个函数需要传入数组，如果传入的是字符串将报错，变量 $s 自然也就没有值。

突出重重包围，构造payload:

data[0]=123&data[1]=<ss>

0x26 参考链接

https://github.com/bowu678/php_bugs

https://www.ddosi.com/b174/

还有好多记不清了