BugkuCTF—代碼審計—WriteUp(持續(xù)更新)

extract變量覆蓋

首先分析下代碼：
extract函數(shù)：

image.png

 [http://123.206.87.240:9009/1.php](http://123.206.87.240:9009/1.php)
<?php
$flag='xxx';
extract($_GET);
if(isset($shiyan))  //shiyan這個變量不能為空
{
$content=trim(file_get_contents($flag)); //trim為去除多余的空格
if($shiyan==$content)
{
echo'flag{xxx}';
}
else
{
echo'Oh.no';
}
}
?>

根據(jù)以上代碼，content 才能得到flag，進行構(gòu)造下：
payload：
emmm~~~~~

image.png

strcmp比較字符串

[http://123.206.87.240:9009/6.php](http://123.206.87.240:9009/6.php)

<?php
$flag = "flag{xxxxx}";
if (isset($_GET['a'])) {
if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0； 如果 str1大于 str2返回 > 0；如果兩者相等，返回 0。
//比較兩個字符串（區(qū)分大小寫）
die('Flag: '.$flag);
else
print 'No';
}
?>

if (strcmp(flag) == 0) //如果 str1 小于 str2 返回 < 0； 如果 str1大于 str2返回 > 0；如果兩者相等，返回 0。

所以必須讓他們兩個相等才可以，用數(shù)組繞過試下
payload：

image.png

urldecode二次編碼繞過

[http://123.206.87.240:9009/10.php](http://123.206.87.240:9009/10.php)

<?php
if(eregi("hackerDJ",$_GET[id])) {  //eregi為正則匹配前面的$get
echo("

not allowed!

");
exit();
}
$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{
echo "

Access granted!

";
echo "

flag

";
}
?>

首先：
if(eregi("hackerDJ",$_GET[id])) 不能讓他匹配成功

其次
_GET[id]);
if($_GET[id] == "hackerDJ")

進行了urldecode解碼，解碼后為hackerDJ
$get 進行傳參的時候一般都進行了一次解碼，下面又進行了一次解碼。本題目也提示了為為二次解碼
所以我們將 hackerDJ 中的一個字母進行二次編碼即可
用J吧

j = %4a
% = %25
hackerD%254a

payload如下:

image.png

md5()函數(shù)

[http://123.206.87.240:9009/18.php](http://123.206.87.240:9009/18.php)

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
if ($_GET['username'] == $_GET['password'])
print 'Your password can not be your username.';
else if (md5($_GET['username']) === md5($_GET['password']))
die('Flag: '.$flag);
else
print 'Invalid password';
}
?>

if (_GET['password'])
username不能等于password

if (md5(_GET['password'])
username 的md5 必須等于 password 的md5

php有一個弱類型漏洞，以下0e開頭的md5值全部相等

失敗。。。剛忘了一個事情

image.png

他是全等 所以這個漏洞沒法用
所以直接用數(shù)組繞過吧??！
進行payload構(gòu)造：

image.png

QNKCDZO
0e830400451993494058024219903391

QNKCDZO

240610708

s878926199a
0e545993274517709034328855841020
  
s155964671a
0e342768416822451524974117254469
  
s214587387a
0e848240448830537924465865611904
  
s214587387a
0e848240448830537924465865611904
  
s878926199a
0e545993274517709034328855841020
  
s1091221200a
0e940624217856561557816327384675
  
s1885207154a
0e509367213418206700842008763514

數(shù)組返回NULL繞過

[http://123.206.87.240:9009/19.php](http://123.206.87.240:9009/19.php)

<?php
$flag = "flag";

if (isset ($_GET['password'])) {
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
echo 'You password must be alphanumeric';
else if (strpos ($_GET['password'], '--') !== FALSE)
die('Flag: ' . $flag);
else
echo 'Invalid password';
}
?>

又是數(shù)組繞過。。。

image.png

弱類型整數(shù)大小比較繞過

[http://123.206.87.240:9009/22.php](http://123.206.87.240:9009/22.php)

$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;
if($temp>1336){
echo $flag;

is_numeric($temp)?die("no numeric"):NULL;
這一句中 要求不能是數(shù)字

if($temp>1336)
還要是數(shù)字大于1336

php弱類型漏洞
構(gòu)造payload：

image.png

sha()函數(shù)比較繞過

<?php
$flag = "flag";
if (isset($_GET['name']) and isset($_GET['password']))
{
var_dump($_GET['name']);
echo "
";
var_dump($_GET['password']);
var_dump(sha1($_GET['name']));
var_dump(sha1($_GET['password']));
if ($_GET['name'] == $_GET['password'])
echo '

Your password can not be your name!

';
else if (sha1($_GET['name']) === sha1($_GET['password']))
die('Flag: '.$flag);
else
echo '
Invalid password.

';
}
else
echo '
Login first!

';
?>

首先
if (_GET['password'])
兩個不能相等

然后
if (sha1(_GET['password']))
兩個必須全等才能得到flag

試下數(shù)組繞過。。。
果然 payload：

image.png

md5加密相等繞過

<?php
$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {
echo "flag{*}";
} else {
echo "false!!!";
}}
else{echo "please input a";}
?>

好像是0e開頭那個漏洞
試一下吧

image.png

十六進制與數(shù)字比較

<?php
error_reporting(0);
function noother_says_correct($temp)
{
$flag = 'flag{test}';
$one = ord('1'); //ord — 返回字符的 ASCII 碼值
$nine = ord('9'); //ord — 返回字符的 ASCII 碼值
$number = '3735929054';
// Check all the input characters!
for ($i = 0; $i < strlen($number); $i++)
{
// Disallow all the digits!
$digit = ord($temp{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
// Aha, digit not allowed!
return "flase";
}
}
if($number == $temp)
return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

(temp) 返回flag

if ( (one) && (nine) )

大于等1 小于等于9 都不可以

要想temp = number =3735929054
用十六進制繞過
0xdeadc0de = 3735929054

payload：

image.png

變量覆蓋

題目掛了??！

ereg正則%00截斷

$flag = "xxx";
if (isset ($_GET['password']))
{
if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
{
echo '

You password must be alphanumeric

';
}
else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
{
if (strpos ($_GET['password'], '-') !== FALSE) //strpos — 查找字符串首次出現(xiàn)的位置
{
die('Flag: ' . $flag);
}
else
{
echo('
- have not been found

');
}
}
else
{
echo '
Invalid password

';
}
}
?>

①：if (ereg ("^[a-zA-Z0-9]+_GET['password']) === FALSE)
password匹配必須 a-zA-Z0-9 之中

這個可以用%00截斷

②：if (strlen(_GET['password'] > 9999999)
password小于8位數(shù) 且 大于9999999

這個用數(shù)組繞過

三：if (strpos ($_GET['password'], '-') !== FALSE)

數(shù)組繞過同時也可以繞過這個
構(gòu)造payload：

image.png

strpos數(shù)組繞過

<?php
$flag = "flag";
if (isset ($_GET['ctf'])) {
if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)
echo '必須輸入數(shù)字才行';
else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
die('Flag: '.$flag);
else
echo '騷年，繼續(xù)努力吧啊~';
}
?>

if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
可以用數(shù)組繞過

if (@ereg ("^[1-9]+_GET['ctf']) === FALSE)

這個正則匹配試一下

繞過了 emmmmm~~~

image.png

數(shù)字驗證正則繞過

<?php
error_reporting(0);
$flag = 'flag{test}';
if ("POST" == $_SERVER['REQUEST_METHOD'])
{
$password = $_POST['password'];
if (0 >= preg_match('/^[[:graph:]]{12,}$/', $password)) //preg_match — 執(zhí)行一個正則表達式匹配
{
echo 'flag';
exit;
}
while (TRUE)
{
$reg = '/([[:punct:]]+|[[:digit:]]+|[[:upper:]]+|[[:lower:]]+)/';
if (6 > preg_match_all($reg, $password, $arr))
break;
$c = 0;
$ps = array('punct', 'digit', 'upper', 'lower'); //[[:punct:]] 任何標點符號 [[:digit:]] 任何數(shù)字 [[:upper:]] 任何大寫字母 [[:lower:]] 任何小寫字母
foreach ($ps as $pt)
{
if (preg_match("/[[:$pt:]]+/", $password))
$c += 1;
}
if ($c < 3) break;
//>=3，必須包含四種類型三種與三種以上
if ("42" == $password) echo $flag;
else echo 'Wrong password';
exit;
}
}
?>

題目的代碼倒是挺長。但是while (TRUE) 后面貌似沒有用到

滿足：
if (0 >= preg_match('/^[[:graph:]]{12,}password)) //preg_match — 執(zhí)行一個正則表達式匹配
{
echo 'flag';
exit;
}

即可得到flag

preg_match()返回 pattern 的匹配次數(shù)。 它的值將是0次（不匹配）或1次，因為preg_match()在第一次匹配后 將會停止搜索。preg_match_all()不同于此，它會一直搜索subject 直到到達結(jié)尾。 如果發(fā)生錯誤preg_match()返回 FALSE

也就是隨便構(gòu)造不匹配就行了吧。。。試一下
噗??！

image.png

簡單的waf

還是打不開的狀態(tài)??！