PHP漏洞函数总结

1.MD5 compare漏洞

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。

常见的payload有

0x01 md5(str)

QNKCDZO

240610708

s878926199a

s155964671a

s214587387a

s214587387a

sha1加密后也是0e开头的字符串

sha1(str)

sha1('aaroZmOk')  = 0e66507019969427134894567494305185566735

sha1('aaK1STfY') 

sha1('aaO8zKZF')

sha1('aa3OFF9m')

0x02 md5(md5(str).”SALT”)

同时MD5不能处理数组,若有以下判断则可用数组绕过

<?php
$flag = 'andseclab';
if (isset($_GET['a']) and isset($_GET['b'])) {
    if ($_GET['a'] != $_GET['b']) {
        if (@md5($_GET['a']) == @md5($_GET['b'])) {
            echo ('Flag: '.$flag);
        }else {
            echo 'Wrong.';
        }
    }
}else{
    echo "wrong";
}
?>

http://127.0.0.1/1.php?a[]=1&b[]=2

2.ereg函数漏洞:00截断

if(ereg ("^[a-zA-Z0-9] $", $_GET['password']) === FALSE){
echo "wrong";
}

正则表达式匹配

字符串对比解析

在这里如果 $_GET[‘password’]为数组,则返回值为NULL

如果为123 || asd || 12as || 123%00&&&**,则返回值为true

其余为false

代码审计,文件上传

3.变量覆盖

extract(array,extract_rules,prefix)

作用:
从数组中将变量导入到当前的符号表。
该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

extract()这个函数在指定参数为EXTR_OVERWRITE或者没有指定函数可以导致变量覆盖。

    <?php 
     extract($_POST);  //默认参数为EXTR_OVERWRITE
        相当于$username = $_POST['username']; 
     $password = $_POST['password']; 
    ?> 

漏洞代码:

<?php  

    $auth = '0';  

    // 这里可以覆盖$auth的变量值

    extract($_GET); 

    if($auth == 1){  

        echo "private!";  

    } else{  

        echo "public!";  

    }  

?>

怎么防御?

可以在使用的时候加上参数EXTR_SKIP
这个参数表示如果有冲突,不覆盖已有的变量

4.strcmp

注:这一个漏洞适用与5.3之前版本的php

我们首先看一下这个函数,这个函数是用于比较字符串的函数

int strcmp ( string $str1 , string $str2 )

参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。

漏洞原理:
当这个函数接受到了不符合的类型,这个函数将发生错误,但是在5.3之前的php中,显示了报错的警告信息后,return 0 ,也就是虽然报了错,但却判定其相等了。

<?php
 $password="andsec";
 if(isset($_GET['password'])){

    if(strcmp($_GET['password'], $password) == 0) {
        echo "Right!!!login success";
    }else{
        echo "Wrong password..";
    }
}
?>

5.sha1 和 md5 函数

md5 和 sha1 无法处理数组,返回 NULL

6.is_numeric

PHP提供了is_numeric函数,用来变量判断是否为数字。但是函数的范围比较广泛,不仅仅是十进制的数字。

bool is_numeric (mixed $var)
如果 var 是数字和数字字符串则返回 TRUE,否则返回 FALSE。


漏洞代码

把 ‘1 or 1’ 转换为16进制 0x31206f722031 为s参数的值
insert into test (id, value) values(1,0x31206f722031)

再重新查询就会造成sql二次注入

7.preg_match

如果在进行正则表达式匹配的时候,没有限制字符串的开始和结束(^ 和 $),则可以存在绕过的问题

<?php

$ip = '1.1.1.1 abcd'; // 可以绕过

if(!preg_match("/(\d )\.(\d )\.(\d )\.(\d )/",$ip)) {

  die('error');

} else {

   echo('key...');

}

?>

8.parse_str

与 parse_str() 类似的函数还有 mb_parse_str(),parse_str 将字符串解析成多个变量,如果参数str是URL传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域。
会导致变量覆盖问题

代码:

<?php
    $var='ad';  

    parse_str($_SERVER['QUERY_STRING']);  

    print $var;
?>

9.serialize 和 unserialize漏洞

1.魔术方法

这里我们先简单介绍一下php中的魔术方法,即Magic方法,php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct,__toString,__sleep,__wakeup等等。这些函数都会在某些特殊时候被自动调用。

__construct()方法会在一个对象被创建时自动调用,对应的__destruct则会在一个对象被销毁时调用

这里有两个比较特别的Magic方法,__sleep 方法会在一个对象被序列化的时候调用。 __wakeup方法会在一个对象被反序列化的时候调用。

注意__sleep方法和__wakeup方法