2. 程式人生 > >【root-me CTF練習】Web伺服器安全-第二十一關- PHP register globals

【root-me CTF練習】Web伺服器安全-第二十一關- PHP register globals

阿新 發佈:2019-01-24

解題思路:

本題考的是PHP變數覆蓋漏洞。那麼首先來了解下PHP的變數覆蓋。

變數覆蓋:

變數覆蓋指的是用我們自定義的引數值去替換程式原有的變數值,一般變數覆蓋漏洞需要結合程式的其它功能來實現完整的攻擊。經常導致變數覆蓋漏洞場景有:$$,extract()函式,parse_str()函式,import_request_variables()使用不當,開啟了全域性變數註冊等。

全域性變數覆蓋:

register_globals的意思就是註冊為全域性變數,所以當On的時候,傳遞過來的值會被直接的註冊為全域性變數直接使用,而Off的時候,我們需要到特定的數組裡去得到它。

<form action='' method='get'>
<input type='text' name='username' value='alex' >
<input type='submit' name='sub' value='sub'>
</form>

<?php
echo 'username::',$username;
echo '<br>sub::',$sub;
echo '<br>GET::';
print_r($_GET);
?>

#當register_globals = On的時候,程式執行提交輸出結果為:
username::alex  
sub::sub  
array ( [username] => alex [sub] => sub )

#當register_globals = Off的時候,程式執行提交輸出結果為:
username::  
sub::  
array ( [username] => alex [sub] => sub )

extract()變數覆蓋:

int extract ( array &$array [, int $flags = EXTR_OVERWRITE [, string $prefix = NULL ]] )

從陣列中將變數匯入到當前的符號表,此函式會將鍵名當作變數名,值作為變數的值。

<?php
$auth = '0';
extract($_GET);
if($auth==1){
echo "private!";
}else{
echo "public!";
}
?>

如果GET傳入auth=1,這時就會把原有的$auth='0' 覆蓋成$auth=1。

當然還有其他型別的變數覆蓋,以後碰到在一一講解。

根據提示,開發人員留下了備份檔案:

那麼隨手測試.bak的備份檔案字尾名下載index.php原始碼。

<?php


function auth($password, $hidden_password){
    $res=0;
    if (isset($password) && $password!=""){
        if ( $password == $hidden_password ){
            $res=1;
        }
    }
    $_SESSION["logged"]=$res;
    return $res;
}



function display($res){
    $aff= '
	  <html>
	  <head>
	  </head>
	  <body>
	    <h1>Authentication v 0.05</h1>
	    <form action="" method="POST">
	      Password&nbsp;<br/>
	      <input type="password" name="password" /><br/><br/>
	      <br/><br/>
	      <input type="submit" value="connect" /><br/><br/>
	    </form>
	    <h3>'.htmlentities($res).'</h3>
	  </body>
	  </html>';
    return $aff;
}



session_start();
if ( ! isset($_SESSION["logged"]) )
    $_SESSION["logged"]=0;

$aff="";
include("config.inc.php");

if (isset($_POST["password"]))
    $password = $_POST["password"];

if (!ini_get('register_globals')) {
    $superglobals = array($_SERVER, $_ENV,$_FILES, $_COOKIE, $_POST, $_GET);
    if (isset($_SESSION)) {
        array_unshift($superglobals, $_SESSION);
    }
    foreach ($superglobals as $superglobal) {
        extract($superglobal, 0 );
    }
}

if (( isset ($password) && $password!="" && auth($password,$hidden_password)==1) || (is_array($_SESSION) && $_SESSION["logged"]==1 ) ){
    $aff=display("well done, you can validate with the password : $hidden_password");
} else {
    $aff=display("try again");
}

echo $aff;

?>

可看到這裡進行了全域性變數註冊:如果未開啟全域性變數註冊,就用extract函式進行接受各種HTTP方法傳參進行註冊全域性變數。

接下來,看判斷密碼的條件,輸入的密碼要和$hidden_password變數的值相同才行,那麼我們傳入一個$hidden_password覆蓋原有的$hidden_password變數值即可。

可通過GET、POST、cookie等等方式傳遞。

通過之後,為當前session進行logged=1設定。當然,也可以直接傳入_SESSION[logged]=1;。

那麼再次重新整理網頁,因為已滿足這個session條件,就會顯示flag。

相關推薦

root-me CTF練習Web伺服器安全-第二- PHP register globals

解題思路: 本題考的是PHP變數覆蓋漏洞。那麼首先來了解下PHP的變數覆蓋。 變數覆蓋: 變數覆蓋指的是用我們自定義的引數值去替換程式原有的變數值,一般變數覆蓋漏洞需要結合程式的其它功能來實現完整的攻擊。經常導致變數覆蓋漏洞場景有:$$,extract()函式,pa

root-me CTF練習Web伺服器安全-SSTI攻擊(模板注入)

靶機地址 http://challenge01.root-me.org/web-serveur/ch41/ 模板引擎 模板的誕生是為了將顯示與資料分離,模板技術多種多樣,但其本質是將模板檔案和資料通過模板引擎生成最終的HTML程式碼。服務端模板注入和常見We

root-me CTF練習Web伺服器安全-PHP 遠端檔案包含

靶機地址 http://challenge01.root-me.org/web-serveur/ch13/ 解題思路 根據題目,得知考的應該是include()函式遠端包含檔案,那麼則需要php.ini的配置選項allow_url_fopen和allow_u

root-me CTF練習Web伺服器安全-PHP type juggling

靶機地址 http://challenge01.root-me.org/web-serveur/ch44/ 解題思路 檢視提示的原始碼,發現主要是需要繞過以下比較: if($auth['data']['login'] == $USER &&

root-me CTF練習Web伺服器安全-PHP preg_replace

靶機地址 http://challenge01.root-me.org/web-serveur/ch37/index.php 解題思路 此題考的是利用PHP 的preg_replace函式導致的程式碼執行。 /e 修正符使 preg_replace()

root-me CTF練習Web伺服器安全-PHP -寬鬆的比較

靶機地址 http://challenge01.root-me.org/web-serveur/ch55/ 解題思路 檢視提示的原始碼,發現需要滿足 $s != false && $h != false if($s.$r == $h) 也就

root-me CTF練習Web伺服器安全-本地檔案包含-雙重編碼

靶機地址 http://challenge01.root-me.org/web-serveur/ch45/ 解題思路 通過構造測試連結發現,這關也是通過include函式包含的,並且檔名自動加上.inc.php,而這個版本的php是無法使用%00也就是null位元組

root-me CTF練習Web伺服器安全-本地檔案包含

靶機地址 http://challenge01.root-me.org/web-serveur/ch16/ 解題思路 通過點選網站上的不同板塊,可以看到可根據不同目錄讀取相應的檔案內容,如以下連結讀取sysadm目錄裡的index.html檔案內容。 http://

職場充電季3.14-3.28場公開課(限免),想職場彎道超車嗎?速速報名來~~

qq群 數據 信息 https 職場 信息系統 以及 開課 abc @求職路上以及在職場中疲憊的人,師傅手把手帶你,讓你在前進的路上不再迷惘! 3月14日-3月28日公開課總覽: 3月14日 周四 晚 8:00-9:30 QQ群號:263409098 直接與老師

ASP.NET——WEB伺服器控制元件

WEB伺服器控制元件分類: 內部控制元件 列表控制元件 複雜控制元件 驗證控制元件 內部控制元件 ASP.NET引入一組稱為“內部控制元件”的新控制元件,專門用於ASP.NET 內部控制元件的使用方法與HTML控制元件相同,他們對映到HTML元素並通過

滲透測試學習平臺 web for pentester -3.目錄遍歷

線上 ini blog etc col tdi jos turn bsp Example 1 http://192.168.106.154/dirtrav/example1.php?file=../../../../../../../etc/passwd Example

獻給CWNU的師弟Web

web con size div data- trac align mark font 2014年10月8日 獻給CWNU的師弟 【獻給CWNU的師弟】Web篇

慕課筆記利用css進行布局混合布局練習

進行 oat html eight add type round 一個 內容 通過學習div的布局,以一個簡單的內容管理網站的布局為例子,用div+css進行簡單的網頁布局,加深學印象: <html> <head> <title>

HITB GSEC CTF 20171000levels

image 運算 位置 步驟 pri 循環 imp 隨機化 .html https://files.cnblogs.com/files/p4nda/498a3f10-8976-4733-8bdb-30d6f9d9fdad.gz #通過閱讀天樞戰隊大佬們的wp調試的結

Java知識點專項練習之 Java魯棒性的特點

響應 計算 指針 情況 功能 異常處理 可能 java編譯 檢查 Java魯棒性的特點如下: Java在編譯和運行程序時都要對可能出現的問題進行檢查,以防止錯誤的產生。 Java編譯器可以查出許多其他語言運行時才能發現的錯誤。 Java不支持指針操作,大大減少了錯誤發

Java知識點專項練習之 數據類型兩大類

char ger ava 練習 類型 包裝類 java 進行 cte Java的數據類型分為兩大類:基本類型和引用類型; 基本類型只能保存一些常量數據,引用類型除了可以保存數據,還能提供操作這些數據的功能; 為了操作基本類型的數據,java也對它們進行了封裝, 得到八個類,

Python開發第二Web框架之Django基礎

name line 控制 creat js等 nec serve pan xiaohua 一、 Django簡介 1.web框架簡介 具體介紹Django之前,必須先介紹WEB框架等概念。 web框架: 別人已經設定好的一個web網站模板,你學習它的規則,然後“填空”或“修

Python3 爬蟲學習筆記Web庫的安裝

我們主要使用Flask、Django等Web服務程式來搭建一些API介面,供我們的爬蟲使用。例如維護一個代理池,代理儲存在Redis資料庫中,我們要將代理池作為一個公共的元件使用,那麼如何構建一個方便的平臺來供我們獲取這些代理呢?最適合不過就是通過Web服務提供

資料結構 JavaScript版- web前端開發精品課程紅點工場 --javascript--進位制轉換

<!DOCTYPE html> <html> <head> <title></title> </head> <body> <script> //【資料結構 JavaScript版】- web前端開發精品課

資料結構 JavaScript版- web前端開發精品課程紅點工場 --javascript-- 迴圈佇列

<!DOCTYPE html> <html> <head> <title></title> </head> <body> <script> //【資料結構 JavaScript版】- web前