22 弱类型整数大小比较绕过

<?php

error_reporting(0);

$flag = "flag{test}";

$temp = $_GET['password'];

is_numeric($temp)?die("no numeric"):NULL;

if($temp>1336){

    echo $flag;

} 

?>

对于传入的password,赋值给temp,使用 is_numeric 函数进行判断,如果是数字的话退出,否则进行后面的判断,因为PHP的弱类型,在数字后面添加空格或者字符进行绕过

<?php

$a = '1';

$b = '1a';

$c = '1 ';

var_dump(is_numeric($a));//true

var_dump(is_numeric($b));//false

var_dump(is_numeric($c));//false

?>

在最后的 if 判断中

if($temp>1336){

    echo $flag;

}

因为如 1337a这种类型的字符串,会自动先进行类型转换后再比较,即转换为1337

所以我们可以使用payload:

?password=1999a

绕过限制,获取flag

23 md5函数验证绕过

<?php

error_reporting(0);

$flag = 'flag{test}';

$temp = $_GET['password'];

if(md5($temp)==0){

    echo $flag;

}

?>

这里需要令password进行md5加密后的值为0即可,又因为是弱类型比较,考虑使用md5后以0e开头的值,在网上找了一些:

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

s1502113478a

0e861580163291561247404381396064

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s155964671a

0e342768416822451524974117254469

s1184209335a

0e072485820392773389523109082030

s1665632922a

0e731198061491163073197128363787

s1502113478a

0e861580163291561247404381396064

s1836677006a

0e481036490867661113260034900752

s1091221200a

0e940624217856561557816327384675

s155964671a

0e342768416822451524974117254469

s1502113478a

0e861580163291561247404381396064

s155964671a

0e342768416822451524974117254469

s1665632922a

0e731198061491163073197128363787

s155964671a

0e342768416822451524974117254469

s1091221200a

0e940624217856561557816327384675

s1836677006a

0e481036490867661113260034900752

s1885207154a

0e509367213418206700842008763514

s532378020a

0e220463095855511507588041205815

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s214587387a

0e848240448830537924465865611904

s1502113478a

0e861580163291561247404381396064

s1091221200a

0e940624217856561557816327384675

s1665632922a

0e731198061491163073197128363787

s1885207154a

0e509367213418206700842008763514

s1836677006a

0e481036490867661113260034900752

s1665632922a

0e731198061491163073197128363787

s878926199a

0e545993274517709034328855841020

然后选一个就行,这里作者使用s878926199a,获取flag

另一种方式是 password 不赋值,就为NULL,NULL==0

所以payload可为:

http://127.0.0.1/php_bugs-master/23.php

也可为:

http://127.0.0.1/php_bugs-master/23.php?password=s878926199a

24 md5函数true绕过注入

<?php

error_reporting(0);

$link = mysql_connect('localhost', 'root', 'root');

if (!$link) {

  die('Could not connect to MySQL: ' . mysql_error());

}

// 选择数据库

$db = mysql_select_db("security", $link);

if(!$db)

{

  echo 'select db error';

  exit();

}

// 执行sql

$password = $_GET['password'];

$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

var_dump($sql);

$result=mysql_query($sql) or die('<pre>' . mysql_error() . '</pre>' );

$row1 = mysql_fetch_row($result);

var_dump($row1);

mysql_close($link);

?>

关键代码在:

$password = $_GET['password'];

$sql = "SELECT * FROM users WHERE password = '".md5($password,true)."'";

也就是说我们需要从数据库中查询成功,这一段sql语句

很容易能够想到,构造这种语句

$sql = "SELECT * FROM users WHERE password = '' or '1'='1'";

当然这只是一个例子,不要拘泥于这句话,难点在于如何找到md5后再转换成字符串刚好为 ' or 'xx

这种形式的字符串

前辈们已经找好了,不过肯定还存在其他的语句

ffifdyop

md5后为为:

276f722736c95d99e921722cf9ed621c

hex转换成字符串为

'or'6<trash>

符合我们的要求

25 switch没有break 字符与0比较绕过

<?php

error_reporting(0);

if (isset($_GET['which']))

{

    $which = $_GET['which'];

    switch ($which)

    {

    case 0:

    case 1:

    case 2:

        require_once $which.'.php';

         echo $flag;

        break;

    default:

        echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);

        break;

    }

}

?>

这道题目使用了switch的特性和PHP弱类型比较的特性

首先是switch比较,因为case 0和case 1都没有break,所以当匹配到0或者1 的时候,匹配成功后,不会退出switch,而且还会继续向下进行,直到遇到break为止,在switch中只进行一次匹配,也就是说,如果匹配到了0,那么可以直接进入case 1和case 2,而不需要进行1 和 2 的比较。

这里的题目是需要我们包含flag.php文件,接下来就是如何令传入的which匹配到 0 或者 1 ,同时能包含flag.php

PHP中非数字开头字符串和数字 0比较==都返回True

因为通过逻辑运算符让字符串与数字进行比较时,会自动将字符串转换为数字,当转换不了的时候,其结果就为0,什么时候能转换成功?如12abc这种,就会被转换成12,而abc12,就会转换失败,个人认为是开头匹配的原因吧

所以我们只需要直接传入flag即可令其在switch中匹配到 case 0,因为没有break的原因,所以能进入case 2,输出flag

最后的payload为:

http://127.0.0.1/php_bugs-master/25.php?which=flag

参考链接:

https://joychou.org/web/SQL-injection-with-raw-MD5-hashes.html

http://www.am0s.com/functions/204.html

PHP代码审计分段讲解(9)的更多相关文章

  1. PHP代码审计分段讲解(14)

    30题利用提交数组绕过逻辑 本篇博客是PHP代码审计分段讲解系列题解的最后一篇,对于我这个懒癌患者来说,很多事情知易行难,坚持下去,继续学习和提高自己. 源码如下: <?php $role = ...

  2. PHP代码审计分段讲解(13)

    代码审计分段讲解之29题,代码如下: <?php require("config.php"); $table = $_GET['table']?$_GET['table']: ...

  3. PHP代码审计分段讲解(11)

    后面的题目相对于之前的题目难度稍微提升了一些,所以对每道题进行单独的分析 27题 <?php if(!$_GET['id']) { header('Location: index.php?id= ...

  4. PHP代码审计分段讲解(1)

    PHP源码来自:https://github.com/bowu678/php_bugs 快乐的暑期学习生活+1 01 extract变量覆盖 <?php $flag='xxx'; extract ...

  5. PHP代码审计分段讲解(12)

    28题 <!DOCTYPE html> <html> <head> <title>Web 350</title> <style typ ...

  6. PHP代码审计分段讲解(10)

    26 unserialize()序列化 <!-- 题目:http://web.jarvisoj.com:32768 --> <!-- index.php --> <?ph ...

  7. PHP代码审计分段讲解(8)

    20 十六进制与数字比较 源代码为: <?php error_reporting(0); function noother_says_correct($temp) { $flag = 'flag ...

  8. PHP代码审计分段讲解(7)

    17 密码md5比较绕过 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ': ...

  9. PHP代码审计分段讲解(6)

    14 intval函数四舍五入 <?php if($_GET[id]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_M ...

随机推荐

  1. WEB安全问题

    WEB安全问题我没太多经验,但是这块内容还是很重要,所以必须要了解学习一下. 简单总结了一下,分成以下5类, 1.DDOS,瘫痪式攻击,解决方法是记录异常请求的ip地址,主动拒绝或者将攻击ip添加到防 ...

  2. 深度探秘.NET 5.0

    今年11月10号 .NET 5.0 如约而至.这是.NET All in one后的第一个版本,虽然不是LTS(Long term support)版本,但是是生产环境可用的. 有微软的背书,微软从. ...

  3. 手把手教你使用Vuex(二)

    在上一篇文章Vuex(一)中我们已经把Vuex需要用到的属性的单独页面引入到了store/index.js里面,所以我们接下来直接在这些js文件中写自己需要的代码就好. 1.Getter 了解:Get ...

  4. linux 命令之file

    Linux file命令用于辨识文件类型. 通过file指令,我们得以辨识该文件的类型. 语法 file [-bcLvz][-f <名称文件>][-m <魔法数字文件>...] ...

  5. rbd-mirror配置指南-单向备份

    前言 RBD 的 mirroring 功能将在Jewel中实现的,这个Jewel版本已经发布了很久了,这个功能已经在这个发布的版本中实现了,本来之前写过一篇文章,但是有几个朋友根据文档配置后,发现还是 ...

  6. Java 实例化接口或抽象类

    1. 实例化接口: 某一天,我们想通过反射调用一个类的方法,但发现方法参数中有一个接口,我们都知道接口不能被实例化,这该怎么办呢? 举例: public class TestLib { public ...

  7. 使用pdfFactory隐藏文档中的隐私信息

    分享PDF文档时,文档中可能会存在一些隐私信息,比如用户名.用户的邮件地址.电话号码等信息.为了更好地保护原有文档内容的完整性,大家可以在生成PDF时,使用pdfFactory的隐藏信息功能,删除或遮 ...

  8. FL Studio中的音频剪辑功能讲解

    音频剪辑,是FL Studio中的一个特色功能,音频剪辑的目的是保持在播放列表中显示和触发的音频,可以根据需要对它们进行切片和排列.但需要注意的是音频剪辑这个功能在FL Studio的基础版(果味版) ...

  9. guitar pro系列教程(五):Guitar Pro音轨属性之小节的功能

    又到了guitar pro系列教程新的一章,本章节小编将采用图文相结合的方式与大家一起来讨论下关于Guitar Pro小节的功能,感兴趣的小伙伴都可以进来看看哦,如下图所示: 我们看到小节这选项栏中分 ...

  10. 「CSP-S 2020」动物园

    description luogu loj(暂无数据) solution 这道题作为T2,对选手们考试开始后先通看一遍所有题目的好习惯,以及判断究竟谁才是真正的签到题的重要能力进行了较好的锻炼, 特别 ...