Contents
1.MD5 compare漏洞
PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
常见的payload有
0x01 md5(str)
QNKCDZO
240610708
s878926199a
s155964671a
s214587387a
s214587387a
sha1加密后也是0e开头的字符串
sha1(str)
sha1('aaroZmOk') = 0e66507019969427134894567494305185566735
sha1('aaK1STfY')
sha1('aaO8zKZF')
sha1('aa3OFF9m')
0x02 md5(md5(str).”SALT”)
同时MD5不能处理数组,若有以下判断则可用数组绕过
<?php
$flag = 'andseclab';
if (isset($_GET['a']) and isset($_GET['b'])) {
if ($_GET['a'] != $_GET['b']) {
if (@md5($_GET['a']) == @md5($_GET['b'])) {
echo ('Flag: '.$flag);
}else {
echo 'Wrong.';
}
}
}else{
echo "wrong";
}
?>
http://127.0.0.1/1.php?a[]=1&b[]=2
2.ereg函数漏洞:00截断
if(ereg ("^[a-zA-Z0-9] $", $_GET['password']) === FALSE){
echo "wrong";
}
正则表达式匹配
字符串对比解析
在这里如果 $_GET[‘password’]为数组,则返回值为NULL
如果为123 || asd || 12as || 123%00&&&**,则返回值为true
其余为false
代码审计,文件上传
3.变量覆盖
extract(array,extract_rules,prefix)
作用:
从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。
extract()这个函数在指定参数为EXTR_OVERWRITE或者没有指定函数可以导致变量覆盖。
<?php
extract($_POST); //默认参数为EXTR_OVERWRITE
相当于$username = $_POST['username'];
$password = $_POST['password'];
?>
漏洞代码:
<?php
$auth = '0';
// 这里可以覆盖$auth的变量值
extract($_GET);
if($auth == 1){
echo "private!";
} else{
echo "public!";
}
?>
怎么防御?
可以在使用的时候加上参数EXTR_SKIP
这个参数表示如果有冲突,不覆盖已有的变量
4.strcmp
注:这一个漏洞适用与5.3之前版本的php
我们首先看一下这个函数,这个函数是用于比较字符串的函数
int strcmp ( string $str1 , string $str2 )
参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。
漏洞原理:
当这个函数接受到了不符合的类型,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,return 0 ,也就是虽然报了错,但却判定其相等了。
<?php
$password="andsec";
if(isset($_GET['password'])){
if(strcmp($_GET['password'], $password) == 0) {
echo "Right!!!login success";
}else{
echo "Wrong password..";
}
}
?>
5.sha1 和 md5 函数
md5 和 sha1 无法处理数组,返回 NULL
6.is_numeric
PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字。
bool is_numeric (mixed $var)
如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。
漏洞代码
把 ‘1 or 1’ 转换为16进制 0x31206f722031 为s参数的值
insert into test (id, value) values(1,0x31206f722031)
再重新查询就会造成sql二次注入
7.preg_match
如果在进行正则表达式匹配的时候,没有限制字符串的开始和结束(^ 和 $),则可以存在绕过的问题
<?php
$ip = '1.1.1.1 abcd'; // 可以绕过
if(!preg_match("/(\d )\.(\d )\.(\d )\.(\d )/",$ip)) {
die('error');
} else {
echo('key...');
}
?>
8.parse_str
与 parse_str() 类似的函数还有 mb_parse_str(),parse_str 将字符串解析成多个变量,如果参数str是URL传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域。
会导致变量覆盖问题
代码:
<?php
$var='ad';
parse_str($_SERVER['QUERY_STRING']);
print $var;
?>
9.serialize 和 unserialize漏洞
1.魔术方法
这里我们先简单介绍一下php中的魔术方法,即Magic方法,php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct,__toString,__sleep,__wakeup等等。这些函数都会在某些特殊时候被自动调用。
__construct()方法会在一个对象被创建时自动调用,对应的__destruct则会在一个对象被销毁时调用
这里有两个比较特别的Magic方法,__sleep 方法会在一个对象被序列化的时候调用。 __wakeup方法会在一个对象被反序列化的时候调用。
注意__sleep方法和__wakeup方法