1. 程式人生 > >php函數漏洞原理解析

php函數漏洞原理解析

watermark http 漏洞 type 相等 註入漏洞 reac web blog

PHP是世界上最好的語言,是的,php在世界上養活了兩類人,一類是編寫php代碼的人,一類是從事安全×××的這類人,因為在php中存在著有漏洞的函數。
在一定條件作用下,這些函數沒有按著函數發明者的意願去解析。
在ctf的web世界中也算待了幾個月了,對學習當中的遇到的有問題的函數略做一下總結。

md5()函數

定義:Md5()函數計算字符串的MD5散列

問題1:經過MD5()函數處理的字符串散列如果出現0e開頭的,在被php處理的時候會被認為等於0。
源碼:

<?php
    $user=$_GET[‘user‘];
    $pass=$_GET[‘pass‘];
    if($user!=$pass){
        if(md5($user) == md5($pass)){
            echo "this is flag";
        }
        else{
            echo "no no no";
        }
    }else{
        echo "字符串不能相同";
    }

?>

代碼功能:判斷get方法傳入的參數的MD5的hash字符串是否相等,並且是在兩參數值不相等的情況下。
測試結果:
技術分享圖片

原理分析:
當兩個字符串被MD5加密的時候,會產生以0e開頭的哈希值。Php進行判斷的時候0e…會被看成科學計數法,0的n次方都是等於零。所以這兩個字符串被md5()加密後都等於零。
var_dump(0 == 0e123456)
技術分享圖片
問題2:處理數組的時候返回為null
源碼:

<?php
    $user=$_GET[‘user‘];
    $pass=$_GET[‘pass‘];
    if($user!=$pass){
        if(md5($user) == md5($pass)){
            echo "this is flag";
        }
        else{
            echo "no no no";
        }
    }else{
        echo "字符串不能相同";
    }

測試:
技術分享圖片

原理分析:
md5(string,raw)語法:string必須,規定要計算的字符串,raw可選,規定輸出格式,TRUE-16字符二進制格式;false-默認,32字符十六進制數。
函數作者規定處理的字符串類型為str字符串型,才能正常輸出。傳遞數組無法處理。造成輸出結果為null

問題3:造成sql註入漏洞

某些查詢語句,特別是查詢密碼的時候,往往會使用md5()函數處理後再去數據庫查詢對比,這樣就會造成一些風險。
查詢語句:
Select from user where passwd = ‘.md5($password,true)’;
這個地方有一個特殊的字符串可以繞過,在你不知道密碼的情況下查詢到user表的內容。

字符串:ffifdyop
測試:
技術分享圖片
可以看到字符串被md5()加密後成為了 ‘ or ‘ 6…,
添加到查詢語句中就變成了
Select
from user where password=’’or’6…’(…表示亂碼,並不影響查詢)
這時候我們將加密後的東西拿去到數據庫查詢一下。
技術分享圖片
看可以將數據庫中的所有的數據全部查出。
原理分析:
Or語句就不在贅述,只說一下,數據庫中的操作,在查詢的時候,where 的後面並不一定非要跟上參數才能夠查詢。
技術分享圖片
只要where後面的值不等於零,就表示true。等於零為false
技術分享圖片
並且where後面的值是字符串的時候,但是第一個是一個非零數的時候也能查詢所有有內容
技術分享圖片
所以也解釋了,為甚前面亂碼依然成立的問題。

***擴展同類函數:sha1()函數。具體用法相同。其哈希值0e開頭的有,sha1(‘aaroZmOk‘) sha1(‘aaK1STfY‘) sha1(‘aaO8zKZF‘) sha1(‘aa3OFF9m‘)


ereg()函數

    定義:正則表達式匹配

問題1:可以00截斷
源碼:
if(isset($_GET[‘num‘])){
if(ereg(‘^[a-zA-Z0-9]+$‘, $_GET[‘num‘]) === FALSE){
echo "請輸入符合要求的";
}else{
echo "您輸入的符合要求";
}
}
代碼分析:只有當輸入數字和字母的時候,輸入正確,如果輸入包含符號的就會提示不正確。
漏洞利用:輸入123%00
看字符串中含有符號,應該返回“請輸入符合要求的”的提示。但是漏洞就通過00截斷產生了
技術分享圖片
原理解析:
當ereg()函數碰到%00的時候,就會認為字符串結束,並不會繼續往下檢測。
問題2:碰到參數是數組的返回為null
源碼相同,測試結果:
技術分享圖片

實現原理:因為返回為null,null != FALSE,所以匹配正確

intval()函數

    定義用法;
    獲取變量的整數值,允許以使用特定的進制返回。默認10進制 
    註:如果參數為整數,則不做任何處理。

問題:可以構造字符串繞過
測試:
技術分享圖片
問題解析:
通過上面的實驗說明,當取回字符串整數的時候,如果字符串中含有非數字的字符,將會返回第一次出現非數字符的前面的整數。若果沒有數字返回0.

unset()函數

定義用法:unset() 銷毀指定的變量。

存在問題:可能銷毀原有定義的變量,進行繞過

源碼:

$abc[‘a‘] = true;

foreach(array(‘_GET‘,‘_POST‘) as $method) {
    foreach($$method as $key=>$value) {
      unset($$key);
    }
}

if ($abc[‘a‘] == false) {
    echo ‘flag {123}‘;
}

?>

測試:
技術分享圖片
解析:
如果unset變量存在請求參數當中,便會出現銷毀變量實現繞過的現象。就如這裏,通過$$符號,$key=abc;$$key=$abc;最後unset()函數便會變成unset($abc),將原來定義的$abc[‘a’]=true給銷毀。

extract()函數

定義用法:
extract() 函數從數組中將變量導入到當前的符號表。
該函數使用數組鍵名作為變量名,使用數組鍵值作為變量值。針對數組中的每個元素,將在當前符號表中創建對應的一個變量。
EXTR_OVERWRITE - 默認。如果有沖突,則覆蓋已有的變量。
EXTR_SKIP - 如果有沖突,不覆蓋已有的變量。
EXTR_PREFIX_SAME - 如果有沖突,在變量名前加上前綴 prefix。
EXTR_PREFIX_ALL - 給所有變量名加上前綴 prefix。
EXTR_PREFIX_INVALID - 僅在不合法或數字變量名前加上前綴 prefix。
EXTR_IF_EXISTS - 僅在當前符號表中已有同名變量時,覆蓋它們的值。其它的都不處理。
EXTR_PREFIX_IF_EXISTS - 僅在當前符號表中已有同名變量時,建立附加了前綴的變量名,其它的都不處理。
EXTR_REFS - 將變量作為引用提取。導入的變量仍然引用了數組參數的值。
這個函數的重點就是默認將已經有的變量給覆蓋掉

存在問題;將原來的變量覆蓋,進行繞過

源碼:

    $a = ‘yaun‘;  
    extract($_GET); 
    if($auth == 1){  
        echo "private!";  
    } else{  
        echo "public!";  
    }  

測試:
技術分享圖片

問題解析:當我傳遞a=1的時候,extract()函數發現有原來的變量,於是將原來變量的值覆蓋掉,變成a=1,在進行if條件語句的判斷。

parse_str()函數

定義用法:
parse_str() 函數用於把查詢字符串解析到變量中,如果沒有array 參數,則由該函數設置的變量將覆蓋已存在的同名變量。 極度不建議 在沒有 array參數的情況下使用此函數,並且在 PHP 7.2 中將廢棄不設置參數的行為。此函數沒有返回值。

源碼:

  if(empty($_GET[‘id‘])){
    show_source(__FILE__);
    die();
}else{
    include(‘flag.php‘);
    $a = "http://blog.51cto.com/12332766";
    $id = $_GET[‘id‘];
    @parse_str($id);
    if($a[0] == ‘yaun‘){
        echo "yes is flag";
    }else{
        exit(‘其實很簡單,其實並不難‘);
    }
}

測試:

技術分享圖片
問題解析:
當傳遞參數id=a[]=yaun的時候,經過parse_str()函數的處理將a變成變量。但是原來有同名的變量,於是就將原來的變量覆蓋掉,同時覆蓋的還有變量的值。

變量覆蓋拓展:php中遇到$$的時候也會出現變量覆蓋的情況。詳情請到:http://blog.51cto.com/12332766/2120800。

strcmp()函數

定義用法:
Strcmp(string1,string2)函數比較兩個字符串

返回值:
0 - 如果兩個字符串相等
<0 - 如果 string1 小於 string2 >0 - 如果 string1 大於 string2

問題:處理數組的時候返回null

源碼“


$a="yaun";
$pass=$_GET[‘pass‘];
if(strcmp($a, $pass) == 0){
    echo "成功";
}else{
    echo "失敗";
}

測試:

技術分享圖片
問題解析:
傳遞數組的時候,函數沒有辦法比較數組,返回null,php語言本身就是弱類型的語言,null==0 在數值上相等。但是在類型上不等。

is_numeric()函數

定義用法:
is_numeric() 函數用於檢測變量是否為數字或數字字符串。
如果指定的變量是數字和數字字符串則返回 TRUE,否則返回 FALSE

問題1:傳遞十六進制的話,會讓檢測無效。
源碼:

$a=$_GET[‘num‘];
if(is_numeric($a)){
    echo "您輸入的是數字";
}else{
    echo "請輸入合法字符";
}

測試:
輸入一串查詢語句轉換過得十六進制

技術分享圖片
成功繞過函數的檢測
問題解析:這個函數不僅能夠檢測十進制,同時還認為十六進制也是合法的。於是就可以構造十六進制的語句進行繞過此函數。

preg_match()函數

定義用法:
Preg_match()函數匹配正則表達式。

返回值:
返回 pattern 的匹配次數。 它的值將是 0 次(不匹配)或 1 次,因為 preg_match() 在第一次匹配後 將會停止搜索。如果發生錯誤preg_match()返回 FALSE。
問題:如果在進行正則表達式匹配的時候,沒有限制字符串的開始和結束(^ 和 $),則可以存在繞過的問題
源碼:

$ip=$_GET[‘ip‘];
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
  die(‘error‘);
} else {
   echo "this is flag";
}

測試:
輸入一個不符合匹配規則的字符串,依然返回flag
技術分享圖片
問題解析:
因為這個函數在執行匹配規則的時候沒有說明是以什麽開頭或者結尾,所以只需要在這個字符串中存在規定的字符,其他的字符也可以添加上去進行繞過。

in_array()函數

定義用法:
in_array(search,array) 函數搜索數組中是否存在指定的值。

返回值:
如果給定的值 search 存在於數組 array 中則返回 true。如果沒有在數組中找到參數,函數返回 false。

$array=[0,1,2,‘3‘];  
var_dump(in_array(‘abc‘, $array)); 
var_dump(in_array(‘1bc‘, $array));

測試:
技術分享圖片
問題分析:
可以看到上面的情況返回的都是true,因為’abc’會轉換為0,’1bc’轉換為1。
在所有php認為是int的地方輸入string,都會被強制轉換

unserialize()函數
具體使用方法見另一篇博客:http://blog.51cto.com/12332766/2121394

strpos()函數

定義用法:
strpos() 函數查找字符串在另一字符串中第一次出現的位置(區分大小寫)。
註釋:strpos() 函數是區分大小寫的。
註釋:該函數是二進制安全的。

語法:
strpos(string,find,start) string 必須,規定被搜索的字符串;find 必須,規定查找的字符串;start 可選,規定開始搜索的位置。
返回值:
返回字符串在另一字符串中第一次出現的位置,如果沒有找到字符串則返回 FALSE。註釋: 字符串位置從 0 開始,不是從 1 開始
源碼:

if(strpos($_GET[‘password‘],‘abc‘) == 0 ){
    echo ‘123‘;
}
else{
    echo ‘456‘;
}

傳遞一個數組進去測試,使得返回結果是123
技術分享圖片
可以看到我們輸入的並不符合要求,但是還是給了123的輸出。
問題解析:
這個函數也是只解析string類型的字符串,給他個數組就不知道如何解析,於是就返回為null。Null==0!

strlen()函數

定義用法:
strlen() 函數返回字符串的長度

語法:
strlen(string) string-必須,規定要檢查的字符串。

源碼:

if(strlen($_GET[‘password‘]) == 0  ){
    echo ‘1233‘;
}else{

    echo ‘4566‘;
}

測試:
傳遞一個數組,使得返回為1233
技術分享圖片
問題分析:
這個函數也是只解析string類型的字符串,給他個數組就不知道如何解析,於是就返回為null。Null==0!

此博客作為個人筆記,若有帶來錯誤之處請諒解!

php函數漏洞原理解析