2. 程式人生 > 實用技巧 >PHP 弱型別 && CODE/COMMADN injection

PHP 弱型別 && CODE/COMMADN injection

阿新 發佈:2020-09-03

CODE/COMMAND INJECTION

CODE INJECTION

https://www.freebuf.com/sectool/168653.html

EXAMPLE1

<?php

$str = “echo \”hello “. $GET_[‘name’].”!!!\”;”;      .是連線  雙引號注意就近。  

Eval($str);          \”雙引號轉義 因為echo  內容需要是字串

?>

 

注意單引號雙引號區別

 

%22
 
.system(%27ls%27);//   輸入,替換了$GET_[‘name’]

 

%22 :   “

%27: ‘

 

<?php

$str = “echo \”hello “. %22.system(%27ls%27);//.”!!!\”;”;    

Eval($str);

?>

 

‘.cat /etc/passwd’

 

%22.system(‘cat  /etc/passwd’);//   失敗
 


%22.system(%27cat  /etc/passwd%27);//     成功

COMMAND INJECTION

Example 1

<?php

System(‘ping –c $_GET[‘ip’]’ );

?>

127.0.0.1;whoami

PHP 弱型別

= ==

strcmp()

<?php 
    if (isset($_GET['value'])) { 
    if (strcmp($_GET['value'], $flag) == 0) 
        die('Flag is: 
 
'.$flag); 
    else print 'Flag is not here !'; 
} 
?>

Strcmp= s1-s2

引數是兩個陣列,輸入陣列則錯誤,判斷相等

Urlcode 二次編碼繞過

/i 不區分大小寫

瀏覽器對使用者輸入資料自動解碼(比如輸入 %27

<?php 
    if(preg_match("/hackerDJ/i",$_GET[id])) {
 echo(" not allowed ! "); 
 exit();
 } 
 $_GET[id] = urldecode($_GET[id]);  //解碼
 if($_GET[id] == "hackerDJ") { 
  die('Flag is: '.$flag);  
 }
?>

D ,%44,再次urlencode,得到 %2544

整數型別大小比較

陣列在比較中恆大與具體值

其他型別和整形比較會先 intval()

<?php 
$temp = $_GET['id']; 
is_numeric($temp) ? die("retry !") : NULL; 
if($temp>6607){ 
    die('Flag is: '.$flag);  
} else print 'Flag is not here !';
?> Flag is not here !

Extract 變數覆蓋

Extract(array,extract_rules,prefix)

<?php 
    $flags='test.txt';
    extract($_GET); 
    if(isset($id)) { 
        $content=trim(file_get_contents($flags)); 
    if($id==$content) { 
        die('Flag is: '.$flag);
    } else { 
    print 'Flag is not here !'; 
    } } 
    ?>

如果輸入id=$content

使用extract接收輸入,存在變數覆蓋,覆蓋flags

接收輸入後,flags=1,此時

file_get_contents($flags)

取不到檔案,故content為空

同時輸入id是空。 &是連線符,重新複製flags

輸出flag

Intval()

小數取整echo intval(9.999); // 9。最大值取決於作業系統

 

<?php
    $key = $_GET['key'];
    if(intval($key) > 1||intval($key) < 0){
        die("key is not right");
    }
    elseif (intval($key) < 1) {
        if ($key ==1) {
            die('Flag is: '.$flag); 
        }else print 'key is not right !!!';
    } ?> key is not right !!!

Php中弱比較,1==0.999999999999999999999999

比如 echo 1==0.999999999999999999999999 輸出1

正則截斷

Erge

Php版本小於5.3

遇到%00 預設字串結束

Preg_match()

Php>=5.3

遇到%00 預設字串結束

 


<?php 
    if(isset($_GET['password'])){
if(preg_match("/^[a-zA-Z0-9]+$/", $_GET['password']) === FALSE){ 
    print('You password not right'); 

} elseif(strlen($_GET['password']) < 8 && $_GET['password'] > 9999999){
    if(strpos($_GET['password'], '*_*') !== FALSE){
     die('Flag is:'.$flag); 
} else{ 
    print('*_* have not been found'); 
    } 
} else{ 
    print('Invalid password'); 
    } 
}
?>

1e8 >9999999 字串長度小於8

Eval() 注入

把字串當做PHP程式碼執行。只能執行不能回顯。

<?php 
    if (isset($_GET['id'])) { 
    $id = $_GET['id'];
    eval("var_dump($id);");
} 
?>

閉合括號,註釋掉後面

Md5()弱比較

PHPmd5對陣列加密返回NULL

對所有0e開頭(16進位制)字串認為相等

<?php 
if (isset($_GET['p1']) && isset($_GET['p2'])) { 
    if ($_GET['p1'] != $_GET['p2'] && md5($_GET['p1']) == md5($_GET['p2'])) 
        die('Flag is: '.$flag); 
    else print 'Flag is not here !'; 
} 
?>

輸入陣列用 ?p1[],多個用 &

Md5()強比較

== 只對值比較,兩邊先轉化為同種型別,若一方為數字另一方為空或null或陣列,現將字串轉化為0

=== 比較型別和值

<?php 
if (isset($_GET['p1']) && isset($_GET['p2'])) { 
    if ($_GET['p1'] != $_GET['p2'] && md5($_GET['p1']) === md5($_GET['p2'])) 
        die('Flag is: '.$flag); 
    else print 'Flag is not here !'; 
} 
?>

Sha()弱比較

對陣列加密返回NULL

<?php 
if (isset($_GET['name']) and isset($_GET['password'])) { 
    if ($_GET['name'] == $_GET['password']) 
        echo ' Your password can not be your name! '; 
    else if (sha1($_GET['name']) === sha1($_GET['password'])) 
        die('Flag: '.$flag); else echo ' Invalid password '; 
} 
else echo 'Flag is not here !'; 
?> Flag is not here !

Strpos

查詢字串在字串第一次出現的位置。Strposstringfindstart)。在string中查詢find

<?php 
if (isset($_GET['id'])) { 
    $one = ord('0'); 
    $nine = ord('9');
    for($i = 0; $i < strlen($_GET['id']); $i++) {  
        $digit = ord($_GET['id']{$i}); 
        if(($digit < $one) || ($digit > $nine) ) { 
            print("必須輸入數字才行");
            return FALSE; 
            } 
        } 
    if (strpos($_GET['id'], 'sss607') !== FALSE) 
        die('Flag: '.$flag); 
    else echo 'flag is not here ~'; 
}
?>

先判斷只有數字

Strpos對陣列查詢返回NULLNULL!==flase

Session 驗證繞過

Session_start() 用來初始化session或從session倉庫載入已經存在的session變數

<?php 
@session_start(); 
print($_SESSION["password"]);
    if ($_GET['password'] == $_SESSION['password'])
        die ('Flag: '.$flag);
    else
        print 'password is not right !';
$_SESSION['password']=rand(10000000,99999999);
?>

系統會判斷使用者輸入的password的值是否與當前sessionpassword值相同。初始時session為空,故輸入password為空即可

若直接訪問過http://10.201.132.248:8090/13.session/session.phpsession已經存在,不為空。清空快取或者換瀏覽器即可

相關推薦

PHP 型別 &amp;&amp; CODE/COMMADN injection

CODE/COMMAND INJECTION CODE INJECTION https://www.freebuf.com/sectool/168653.html EXAMPLE1 <?php $str = “echo \\”hello “. $GET_[‘name’].”!!!\\”;&rdqu

php型別相關

php型別 php是個型別的語言. = 賦值 == 只比較值(比較的時候會發生型別轉換)

攻防世界-web-ics-07(PHP型別、linux目錄結構特性繞過檔案型別過濾)

工控雲管理系統專案管理頁面解析漏洞。 進入題目後,點選進入專案管理頁面。

PHP型別

技術標籤:PHP安全 PHP型別(一) 1.== 與 ===: PHP在使用雙等號(==)時,不會嚴格檢驗傳入的變數型別,在以下程式碼中:

PHP型別(二)

技術標籤:PHP安全 PHP型別(二) 3.intval()函式 intval()函式用來獲取變數的整數部分,在以下部分程式碼中:

PHP型別的學習

 關於==和=== ==是比較兩個值,如果型別相同就比較值,如果型別不同就轉換型別進行比較

simple_php WP(php型別比較 型別轉換等)

simple_php WP(php型別比較 型別轉換等) ​攻防世界simple_php,連結https://adworld.xctf.org.cn/task/answer?type=web&amp;number=3&amp;grade=0&amp;id=5072&amp;page=1

淺談php安全(一)php型別

首先宣告,php這一塊的學習,我準備按照知識庫也分為四塊 本篇記錄的是我對於php型別的學習。

05_動態程式語言 &amp; 靜態程式語言 &amp; 強型別語言 &amp; 型別語言

3.名稱解釋*1.動態程式語言 &amp; 靜態程式語言*動態程式語言 : 在執行時 確定變數資料型別,在 編寫程式碼時,不用指定變數的資料型別 如(python、js)*靜態程式語言 : 在編譯期 對變數資料型別檢查,可以提前發現錯誤

C++ &amp; VS Code &amp; CMake &amp; Mac OS

整體環境 作業系統:Mac OS 編譯器:clang/clang++ 偵錯程式:lldb IDE: VS Code builder:cmake

php 正則去掉&amp;lt;p&amp;gt;&amp;nbsp;&amp;lt;/p&amp;gt; 空格 &amp;nbsp;與&amp;lt;p&amp;gt;&amp;lt;br/&amp;gt;&amp;lt;/p&amp;gt;

1、php 正則去掉<p></p> 空格 $str=\' <p></p> <p></p> <p></p>

資料型別-數值&amp;字串

一、數值 1.1整型int 作用:年紀、等級、手機號、身份證號等整型數字相關 定義:age=10 # 本質age=int(10)

資料型別轉換&amp;運算子&amp;方法入門

基礎題目: 第一題 按步驟編寫程式碼,效果如圖所示: 編寫步驟: 定義類 Test1 定義 main方法

php and 和 &amp;&amp;的一個坑

我原來以為PHP中的and和&amp;&amp;是一樣的, 只是寫法上為了可讀性和美觀, 事實上我錯了. 這裡面深藏了一個坑!看以下程式碼:

型別轉換 &amp; 運算規則

資料型別裝換 1.小轉大(隱式轉換) 直接轉換 byte a = 10; int b = a; 2.大轉小(顯式轉換)強轉換

php程式碼審計-file_get_contents()&amp;file_put_contents()

file_get_contents() https://www.php.net/function.file-get-contents 只需要瞭解filename即可 filename可以是簡單的一個檔案path,相對路徑或者絕對路徑

php中foreach加&amp;的用法

技術標籤:php、tp5、tp3整理php foreach加&amp;是用來做什麼呢? foreach加&amp;遍歷的同時改變原陣列即修改資料或者增加資料

WPF&amp; c# Code backup

技術標籤:#WPF WPF實現TextBlock呼吸燈效果 <TextBlock Text="錄影中" FontSize="48" Foreground="#ED4646" HorizontalAlignment="Center" FontWeight="Medi

除錯時變數十六進位制_JavaScript(1) 變數&amp;amp;型別&amp;amp;運算子

技術標籤:除錯時變數十六進位制 前置知識 JavaScript 的書寫形式 1. 行內式 直接嵌入到 html 元素內部

void型別應用 &amp;&amp; 函式指標實現面向物件

技術標籤:C語言基礎練習 原帖: 【C進階】同事用void把我給秀翻了! 摘錄: 雖然void不能直接修飾變數,但是其可以用於修飾指標的指向即無型別指標void*,無型別指標那就有意義了,無型別指標不是一定要指向無