青岛网站设计选哪家,怎么做seo网站关键词优化,深圳龙华网站建设公司,知名网站开发哪家好文章目录 参考环境题目learning.php信息收集isset()GET 请求查询字符串全局变量 $_GET MD5 绕过MD5韧性脆弱性 md5()弱比较隐式类型转换字符串连接数学运算布尔判断 相等运算符 MD5 绕过科学计数法前缀 0E 与 0e绕过 start.php信息收集头部检索 f14g.php信息收集 探秘 F1l1l1l1… 文章目录 参考环境题目learning.php信息收集isset()GET 请求查询字符串全局变量 $_GET MD5 绕过MD5韧性脆弱性 md5()弱比较隐式类型转换字符串连接数学运算布尔判断 相等运算符 MD5 绕过科学计数法前缀 0E 与 0e绕过 start.php信息收集头部检索 f14g.php信息收集 探秘 F1l1l1l1l1lag.phperror_reporting()错误报告级别影响范围 highlight_file()\_\_FILE__函数 highlight_file() strstr()str_ireplace()strlen()die()参数退出状态码status eval()三个判断语句第一个判断语句第二个判断语句第三个判断语句 绕过 F1l1l1l1l1lag.phpsystem()Linux 命令ls常用选项列举范围 cat URL 字符编码将非 ASCII 字符文本转换为 ASCII 字符文本去除语义将不可见字符如空格转换为可见文本 捉迷藏破壁flag.php嵌套 eval()/flag 其他绕过姿势借力打力%09 参考
项目描述NSSCTFWriteUp搜索引擎Bing、GoogleAI 大模型文心一言、通义千问、讯飞星火认知大模型、ChatGPTPHP 手册PHP Manual
环境
项目描述操作系统Kali Linux 2023.1、Windows 10 专业版PHP5.5.5、7.0.0、7.0.8、8.2.6
题目
项目描述得分项信息收集、MD5 绕过、弱比较、命令执行漏洞、HTTP 请求方式、嵌套 eval()、Linux 命令、URL 编码、信息收集、PHP 源码审计、空格绕过、限制长度题目来源NSSCTF
learning.php
信息收集
访问靶场首页你将观察到如下内容 尝试访问页面的源代码快捷键 Ctrl-U 或 页面中右键点击查看源代码。该页面的源代码中存在一段 HTML 注释其中包裹着当前页面的 部分 PHP 代码。
!--
if (isset($_GET[web]))
{$first$_GET[web];if ($firstmd5($first)) --isset()
在 PHP 中isset() 接受 一个或多个 参数其中的每个参数都是要需要进行检查的变量。isset() 函数将 逐个检查 这些变量若其中存在 未被初始化 或 值为 NULL 的变量则 isset() 函数将返回 false。否则该函数将返回 true。
isset() 函数可以在使用变量之前先检查其是否已经被初始化或该变量的值是否为 NULL从而 避免潜在的异常被抛出。
举个栗子
?phpprint(\n【One】\n);
// 未初始化的变量 $var。
$var;
// 未初始化的变量将被赋予默认值 NULL。
// 尝试使用未初始化的变量PHP 可能抛出 Undefined variable 异常。
var_dump($var);
// 尝试通过 isset() 函数判断 $var 是否为一个
// 未初始化变量。
var_dump(isset($var));print(\n【Two】\n);
// 为 $var 进行初始化操作
$var NULL;
// 若一个变量被显示赋予值 NULL则在使用该变量时
// PHP 将不会抛出 Undefined variable 异常。
var_dump($var);
// 尝试通过 isset() 函数判断 $var 的值是否为 NULL。
var_dump(isset($var));print(\n【Three】\n);
$a $b 1;
$c NULL;
// 尝试通过 isset() 判断多个参数中是否存在符合要求的变量。
var_dump(isset($a, $b));
var_dump(isset($a, $c, $b));执行效果
【One】Notice: Undefined variable: var in C:\test.php on line 8
NULL
bool(false)【Two】
NULL
bool(false)【Three】
bool(true)
bool(false)
PHP Notice: Undefined variable: var in C:\test.php on line 8GET 请求
查询字符串
在 Web 开发中查询字符串Query String 是指 URL 中位于 问号 ? 后的 部分 文本。查询字符串常用于客户端浏览器 通过 URL 传递数据给服务器。 查询字符串由 一个或多个参数 组成每个参数之间使用 符号 进行 分隔。
举个栗子
https://example.com/index.php?ID1UserNameRedHeart#BinaryMoon在上述 URL 中查询字符串为 ID1UserNameRedHeart其中包含两个参数即 ID1 和 UserNameRedHeart。这意味着参数名为 ID 的参数对应的参数值为 1而参数名为 UserName 参数对应的参数值为 RedHeart。
全局变量 $_GET
在 PHP 中可以使用全局变量 $_GET 来获取由浏览器客户端提交的查询字符串中的 参数信息。$_GET 是一个 关联数组其中的 键 为查询字符串中的参数名值 为参数对应的值。
index.php 页面所包含的内容
?php// 获取由查询字符串中的参数组成的关联数组
var_dump($_GET);// 通过向网页中输入一个 /br HTML 标签来实现换行的效果
echo /br;// 获取查询字符串中参数名为 Name 的参数所对应的参数值
var_dump($_GET[Name]);执行效果
在客户端浏览器访问 index.php 页面后服务器端的输出结果。
array(2) { [Name] string(8) RedHeart [Host] string(10) BinaryMoon }
string(8) RedHeart注:
尝试通过 $_GET 访问不存在的键将导致 Undefined array key 警告。因此在使用 $_GET 访问某一个键前常需要通过 isset() 函数判断其是否存在。
MD5 绕过
MD5
MD5Message Digest Algorithm 5 是一种常用的哈希函数算法用于将 任意长度 的数据转换为 固定长度 的哈希值。MD5 是 MD4 算法的改进版本由 Ronald Rivest 在 1992 年设计并广泛使用。
MD5 算法的 输出结果 是一个 128 位即长度为 16 字节的哈希值通常表示为一个 32 位 的 十六进制数。
韧性 不可逆性 MD5 是一种 单向哈希函数具有不可逆性的特性。这意味着 无法 通过 已知的 MD5 哈希值 来准确地 确定原始输入数据。 雪崩效应 MD5 的雪崩效应是指 对输入数据微小改变 会导致 输出哈希值发生巨大变化 的特性。具体来说即使输入数据只有一个比特位的改变其计算得到的 MD5 哈希值也会产生 全局性的变化而不仅仅在修改的位置上体现出差异。 唯一性 理想情况下对于不同的输入数据MD5 算法生成的 哈希值应该是唯一的。也就是说不同的输入数据应该产生不同的哈希值。 快速性 MD5 是一种快速计算哈希值的算法适用于 对大量数据进行哈希计算 的场景。
脆弱性
MD5 算法的 哈希输出空间 相对较小仅有 128 位仅能容纳 128 位二进制数据而 输入空间是无限的这种 输入与输出的不匹配性 导致了哈希碰撞的 可能性。攻击者可以使用 巧妙构造的输入数据通过精心选择的 碰撞攻击算法找到 具有相同哈希值的不同输入。 碰撞攻击 由于 MD5 的 设计特点 和 算法结构使得攻击者能够使用巧妙构造的输入数据来找到碰撞。碰撞攻击的发现使得 MD5 不再适用于对数据完整性和身份验证进行可靠保护。 预计算攻击 由于 MD5 的 计算速度较快攻击者可以 预先计算常见输入数据的 MD5 哈希值并将其存储在哈希表中。这样在实际攻击过程中攻击者可以通过将需要进行破解的哈希值与预先计算的哈希值进行 比对 来实现对哈希值的快速破解。
md5()
在 PHP 中md5() 函数用于计算给定字符串的 MD5 哈希值该函数采用一个字符串作为输入并返回其 对应的哈希值。
md5(string $string, bool $binary false): string其中
项目描述$string要计算 MD5 哈希值的字符串。$binary参数值为一个 布尔类型 的数据用于指定返回的哈希值是 二进制格式 还是 十六进制格式。默认为 false表示返回 十六进制格式 的哈希值如果设置为 true则返回 二进制格式 的哈希值。
举个栗子
?php// 尝试将字符串 Hello World 转换为 MD5 哈希值
var_dump(md5(Hello World));// 尝试将字符串 12 转换为 MD5 哈希值
var_dump(md5(12));// 当函数 md5() 的输入值为数值时将自动将非数值数据转换为数值数据
var_dump(md5(12));执行效果
string(32) b10a8db164e0754105b7a99be72e3fe5
string(32) c20ad4d76fe97759aa27a0c99bff6710
string(32) c20ad4d76fe97759aa27a0c99bff6710注
md5 函数的 $binary 参数的值设置为 true此时若将转换结果输出至终端中将出现 乱码 的现象。这是因为 PHP 会 自动尝试 将 二进制数据 转换为 可以显示的文本信息由于 相同 的二进制数据在通过 不同 的解码方式下进行解码将被解释为不同的字符这就存在了 乱码使用错误的解码方式对二进制数据进行解码将导致结果存在偏差 的可能。对此请参考如下示例
?php// 尝试将哈希值以二进制方式输出至终端中
var_dump(md5(Hello World, true));// 尝试将哈希值的二进制表达转换为十六进制后输出至终端中
var_dump(bin2hex(md5(Hello World, true)));执行效果
string(16)
duA.?
string(32) b10a8db164e0754105b7a99be72e3fe5弱比较
隐式类型转换
在 PHP 中隐式类型转换Implicit Type Conversion 是指在某些操作中PHP 会 自动 将数据 由一种数据类型转换为另一个数据类型而 无需显式 地编写 类型转换 代码。
PHP 的隐式类型转换会按照一定规则具体情况具体分析对操作数进行转换以使得相关操作 能够正常进行 下去。
字符串连接
在通过使用句点运算符 . 进行字符串连接操作时PHP 将会尝试将其他数据类型 转换为字符串数据类型。对此请参考如下示例
?php// 尝试将两个字符串进行拼接
var_dump(Hello . World);// 尝试将数值与字符串进行拼接
var_dump(1 1 . 2);// 尝试将两个数值进行拼接
var_dump(1 . 1);执行效果
string(11) Hello World
string(9) 1 1 2
string(2) 11数学运算
在通过 数学运算符 进行数学运算时PHP 将会尝试将其他数据类型的数据 转换为数值类型。对此请参考如下示例
?php// 尝试对布尔值 true 与数值 1 进行减法运算
var_dump(true - 1);// 尝试对布尔值 true 与 false 进行加法运算
var_dump(true false);// 尝试进行字符串之间的乘法运算
var_dump(2 * 150);// 字符串 100djdj 将被转换为 100
var_dump(100djdj / 10);// 字符串 djdj100 将被转换为零
var_dump(djdj100 / 10);执行效果
int(0)
int(1)
int(300)
int(10)
int(0)布尔判断
在需要使用布尔值的位置PHP 将尝试将非布尔值的数据 转换为布尔类型的数据。对此请参考如下示例
?php// 尝试将空字符串转换为布尔值
if(){print(Hello World . \n);
}// 尝试将字符串 Hello World 转换为布尔值
if(Hello World){print(Hello China . \n);
}// 尝试将数值 999 转换为布尔值
if(999){print(久久久 . \n);
}执行效果
Hello China
久久久相等运算符
在 PHP 中存在两种相等运算符即弱类型相等运算符 和强类型相等运算符 两者都可以用于判断两个操作数是否相等但存在一些区别。
两者的 区别 在于弱类型相等运算符 在对操作数进行比较之前将 自动 进行类型转换以 使两者所属的数据类型相同。而 强类型相等运算符 在进行比较时要求两个值的 类型 和 值 都必须 完全相同不进行类型转换。对此请参考如下示例
?php// 在通过弱类型比较运算符对数值与字符串进
// 行比较时PHP 优先将字符串转换为数值。// 由于两者转换为同一类型后值相同
// 故将返回 true。
var_dump(123 123);// 由于两者的数据类型及值均不相同故
// 将返沪 false。
var_dump(123 123);执行效果
bool(true)
bool(false)MD5 绕过
科学计数法
在 PHP 中e 与 E 均表示 科学计数法Scientific Notation。科学计数法由 基数 和 指数 两部分组成常用于 表示非常大或非常小的数值。
在科学计数法中基数 通常 是一个浮点数介于 1 到 10 之间而指数是一个整数表示要将基数乘以 10 的多少次方。基数与指数之间以字符 e 或 E 进行分隔。
举个栗子
?php// 3.78 * 10 ^ 3
var_dump(3.78e3);// 3 * 10 ^ -1
var_dump(3E-1);执行效果
float(3780)
float(0.3)前缀 0E 与 0e
零的任何指数次幂都为零因此以 0E 或 0e 为前缀的科学计数法表示的数值的结果都将为数值零。对此请参考如下示例
?phpvar_dump(0e3280);
var_dump((float)0e30284083);
var_dump((float)0esjlfjsld);执行效果
float(0)
float(0)
float(0)绕过
存在部分字符串被 MD5 算法处理后将得到一个以 0e 或 0E 开头的字符串通过 弱比较类型运算符 判断这类字符串与其他数值是否相等则可能导致潜在的安全漏洞。
再来看看 learning.php 页面源代码中的注释信息
!--
if (isset($_GET[web]))
{$first$_GET[web];if ($firstmd5($first)) --由页面注释信息可知我们需要向 learning.php 页面传递查询字符串参数 web该 参数的值需要和其自身的 MD5 处理值相同。为执行判断语句中的内容虽然不知道是什么我们可以将一个以 0e 或 0E 开头且被 MD5 算法处理的结果也以 0e 或 0E 开头的文本作为参数 web 的值而文本 0e215962017 恰好符合我们的要求。
于是构造查询字符串
?web0e215962017在 URL 中拼接上述查询字符串后将跳转至 start.php 页面。
start.php
信息收集
start.php 中未发现可攻击漏洞在该页面中的源代码中也未发现相关提示。此时我们可以观察 HTTP 数据包头部字段中往往会有我们需要的内容。 头部检索
在浏览器中按下 f12 或通过其他方式打开浏览器提供的 开发者工具选择其中的 网络 分栏。 刷新网页。 选择其中的 start.php。 在 HTTP 响应中我们观察到了一个特殊的响应头部字段 HintHint 字段并未在 HTTP 规范中定义且 Hint 本身含有 提示 的含义。可以看出这是设计者给出的提示。
于是构造如下路径将其拼接至 当前页面 URL 的尾部 并尝试对其进行访问
/f14g.phpf14g.php
信息收集
f14g.php 页面的响应内容为一段 HTML 文本其中并未包含漏洞和相关的提示信息。
html
img srchttps://i0.hdslb.com/bfs/article/7627a3f08227d8374b62a9d5db70ea8366af9146.jpg942w_915h_progressive.webpoh ! i cant believe you think flag really be here hhhh /style
body
/body
/html尝试通过开发者工具观察该页面的响应头部字段得到如下结果 响应头部字段中同样含有设计者提供的提示字段 Hint该字段的内容尝试引导我们访问 F1l1l1l1l1lag.php 页面。
探秘 F1l1l1l1l1lag.php
F1l1l1l1l1lag.php 页面通过 highlight_file() 函数高亮显示了该页面的 PHP 源代码让我们对其逐一进行分析。
?php
error_reporting(0);highlight_file(__FILE__);if (isset($_GET[get])){$get$_GET[get];if(!strstr($get, )){$get str_ireplace(flag, , $get);if (strlen($get)18){die(This is too long.);}else{eval($get);} }else {die(nonono); }}?error_reporting()
在 PHP 中error_reporting() 函数用于设置当前的 错误报告级别。错误报告级别 决定 了哪些类型的错误和警告将 被 PHP 报告和显示。
错误报告级别
error_reporting() 函数接受一个整数或 PHP 提供的错误报告级别常量作为参数该参数表示要启用的错误报告级别。以下是一些 常用的 error_reporting() 参数
错误报告级别常量值作用-1显示所有 错误。0不显示任何 错误。E_ERROR1仅显示 致命级别 的错误信息。E_WARNING2仅显示 警告级别 的错误信息。E_PARSE4仅显示 语法解析错误。E_NOTICE8仅显示 注意级别 的错误信息。E_CORE_ERROR16仅显示 PHP 核心致命错误。E_CORE_WARNING32仅显示 PHP 核心非致命错误。E_COMPILE_ERROR64仅显示 编译时致命错误。E_COMPILE_WARNING128仅显示 编译时非致命错误。E_USER_ERROR256仅显示 用户自定义的致命错误。E_USER_WARNING512仅显示 用户自定义的非致命错误。E_USER_NOTICE1024仅显示 用户自定义的注意和提示信息。E_ALL32767显示 所有错误信息。E_STRICT2048仅显示 严格模式规范下 的错误信息。E_RECOVERABLE_ERROR4096仅显示 可恢复的致命错误可以通过捕获错误进行处理。E_DEPRECATED8192仅显示 已弃用的功能和方法的警告。E_USER_DEPRECATED16384仅显示 用户自定义的已弃用功能和方法的相关警告。
这些 error_reporting() 函数的参数用以 控制 PHP 的错误报告行为每个参数对应不同的错误级别可以 单独选择 某一参数设置 PHP 的错误报告行为也可以通过 | 运算符 按需组合使用。
举个栗子
?php# 将 PHP 的错误报告级别设置为 0
# 此时 PHP 将不会显示任何的错误信息。
error_reporting(0);# 将 PHP 的错误报告行为设置为 E_WARNING | E_NOTICE
# PHP 将仅显示 PHP 运行过程中产生的 WARNING 与 NOTICE。
error_reporting(E_WARNING | E_NOTICE);// 在 PHP 中访问未曾定义的变量将导致 Notice
print(Hello World);
print($a);// 在 PHP 中缺少一个必须的参数将导致 Warning
urlencode();执行效果
Hello World
Notice: Undefined variable: a in C:\test.php on line 6Warning: urlencode() expects exactly 1 parameter, 0 given in C:\test.php on line 9
PHP Notice: Undefined variable: a in C:\test.php on line 6
PHP Warning: urlencode() expects exactly 1 parameter, 0 given in C:\test.php on line 9影响范围
error_reporting() 函数仅能够影响该函数所处位置的后续代码。对此请参考如下示例
?php# 将 PHP 的错误报告级别设置为 0
# 此时 PHP 将不会显示任何的错误信息。
error_reporting(0);// 在 PHP 中访问未曾定义的变量将导致 Notice
print($a);// 在 PHP 中缺少一个必须的参数将导致 Warning
urlencode();# 将 PHP 的错误报告行为设置为 E_WARNING
# PHP 将仅显示 PHP 运行过程中产生的 WARNING。
error_reporting(E_WARNING);print($a);urlencode();执行效果
Warning: urlencode() expects exactly 1 parameter, 0 given in C:\test.php on line 20
PHP Warning: urlencode() expects exactly 1 parameter, 0 given in C:\test.php on line 20highlight_file()
__FILE__
在 PHP 中__FILE__ 是一个包含当前 正在执行的 PHP 文件 的 字符串形式的完整路径 的内置全局常量。
函数 highlight_file()
highlight_file() 函数是 PHP 提供的一个用于 PHP 代码高亮显示 的函数使用该函数将能够获取到 指定文件中的内容 通过 HTML 标签 实现高亮显示的结果。
highlight_file(string $filename, bool $return false): string|bool其中
项目描述$filename欲高亮显示的文件的 路径。$return若该参数的值为 true则 highlight_file() 函数将返回文件高亮处理后的 HTML 文本而不是将其 直接 输出。
举个栗子
?php// 按照一定规则通过 HTML 标签高亮显示
// 指定 PHP 文件中的内容。
highlight_file(__FILE__);// 通过在网页中嵌入 HTML 标签 /br
// 实现换行效果。
echo /br;var_dump(Hello World);执行效果
执行 highlight_file(__FILE__); 后PHP 会自动将全局变量 __FILE__ 所指向的文件中的内容 高亮处理后得到的 HTML 文本进行输出。尝试通过浏览器访问 __FILE__ 所指向的文件将得到类似如下效果 由 highlight_file() 高亮处理目标文件后得到的 HTML 文本如下
codespan stylecolor: #000000
br //spanspan stylecolor: #0000BBvar_dump/spanspan stylecolor: #007700(/spanspan stylecolor: #DD0000Hellonbsp;World/spanspan stylecolor: #007700);/span
/span
/code注
highlight_file() 函数 并不是仅能够 对 PHP 代码进行高亮处理实际上highlight_file() 函数将通过 PHP 内置的语法高亮器 按照一定的高亮规则对文件中 ?php 后与?可被省略 前的内容进行高亮处理。对此请参考如下示例
?php// 按照一定规则通过 HTML 标签高亮显示
// 指定 PHP 文件中的内容。
highlight_file(./calc.js);// 通过在网页中嵌入 HTML 标签 /br
// 实现换行效果。
echo /br;var_dump(Hello World);calc.js 文件中的内容
?php
// 定义两个数字
var num1 5;
var num2 10;// 计算两个数字的和
var sum num1 num2;// 显示计算结果
console.log(两个数字的和为 sum);莫愁前路无知己天下谁人不识君。?foreach(str_split(Hello World) as $char){print($char . \n);
}执行效果 strstr()
strstr() 函数是 PHP 中用于在字符串中查找 子字符串 的函数该函数返回在字符串中 第一次出现的子字符串 及 其后面的所有内容。
strstr(string $haystack, string $needle, bool $before_needle false): string|false其中
项目描述$haystack字符串。$needle被搜索的子字符串。$before_neddle指定 是否 返回 子字符串之前 的内容默认为 false。如果将该参数的值设置为 true则返回 子字符串之前 的内容。如果该参数的值设置为 false则返回 子字符串及其之后的所有内容。
举个栗子
?php$space I am a space!;
$string Hello . $space . World;// 返回子字符串及其之后的内容
var_dump(strstr($string, $space));
// 返回子字符串之前的内容
var_dump(strstr($string, $space, true));执行效果
string(18) I am a space!World
string(5) Hello注
在 PHP 中还有一个与 strstr() 函数类似的函数 stristr()。stristr() 函数与 strstr() 函数的区别是stristr() 函数不区分字符串与字符串的大小写格式而 strstr() 函数则对此由严格的限制。对此请参考如下示例
?php$space I am a space!;
$small_space i am a space!;
$string Hello . $space . World;// strstr() 函数区分字符串与子字符串中内容的大小写形式
var_dump(strstr($string, $small_space));
// stristr() 函数并不区分字符串与子字符串的大小写形式
var_dump(stristr($string, $small_space));执行效果
bool(false)
string(18) I am a space!Worldstr_ireplace()
在 PHP 中str_ireplace() 函数用于执行 不区分大小写具有相同功能且区分大小写的 PHP 函数为 str_replace() 的 替换操作。该 PHP 函数将在 字符串 或 数组 中搜索指定的子字符串或子元素并将其替换为另一个字符串或元素。取决于需要进行替换操作的数据的类型该函数将返回一个字符串或数组。
str_ireplace(array|string $search,array|string $replace,string|array $subject,int $count null
): string|array其中
项目描述 $search需要搜索和替换的字符串或数组。$replace用于替换匹配项的字符串或数组。$subject要在其中执行搜索和替换操作的字符串数组。$count可选请为该参数指定一个 变量该变量的值将被设置为 替换发生的次数。
举个栗子
?php# 函数 str_ireplace() 的前三个参数的第二层作用即
# 参数 $search 与 $replace 用以创建映射关系
# 而 $subject 用以确定返回数据的类型。
$result str_ireplace(array(Hello, , World), array(1, 2, 3), array(!!!, WorLd, , HELLO));
var_dump($result);$result str_ireplace(array(Hello, , World), array(1, 2, 3), Hello World);
var_dump($result);$result str_ireplace(BinaryMoon, China, Hello BinaryMoon);
var_dump($result);$result str_ireplace(array(Hello, , World), China, Hello World);
var_dump($result);$result str_ireplace(array(Hello, , World), China, array(Hello, , World, !!!));
var_dump($result);print(\n . 该类替换情形不被支持为此 PHP 将抛出一个 Notice 异常。 . \n);
$result str_ireplace(Hello, array(Hello, , World), Hello World);
var_dump($result);print(\n . Count 参数的作用 . \n);
# 定义变量 count 用以记录某一次替换操作过程中发生的替换次数。
$count ;
$result str_ireplace(array(Hello, , World), array(1, 2, 3), Hello World !!!, $count);
var_dump($result);
var_dump($count);执行效果
array(4) {[0]string(3) !!![1]string(1) 3[2]string(1) 2[3]string(1) 1
}
string(3) 123
string(11) Hello China
string(15) ChinaChinaChina
array(4) {[0]string(5) China[1]string(5) China[2]string(5) China[3]string(3) !!!
}该类替换情形不被支持为此 PHP 将抛出一个 Notice 异常。Notice: Array to string conversion in C:\test.php on line 22
string(11) Array WorldCount 参数的作用
string(7) 1232!!!
int(4)
PHP Notice: Array to string conversion in C:\test.php on line 22strlen()
strlen() 函数用以返回给定字符串所占用的字节数。对此请参考如下示例
?php# 一个 ASCII 字符占用一个字节大小的存储空间。
$string Hello World;
var_dump(strlen($string));# 一个通过 UTF-8 编码的中文字符大多占用三个字节。
$string 你好 中国;
var_dump(strlen($string));执行效果
int(11)
int(13)die()
在 PHP 中die() 函数常用于对脚本的主动结束。对此请参考如下示例
?phpvar_dump(Hello China);
die();# 由于 die() 函数的执行导致脚本的结束
# 故程序将不会输出 Hello World。
var_dump(Hello World);执行效果
string(11) Hello China参数
退出状态码
退出状态码Exit Status Code是在程序退出时返回给操作系统的一个 整数值退出状态码用于向操作系统提供关于程序退出状态的信息通常表示程序的执行结果或发生的错误类型。
退出状态码是一个约定俗成的机制在不同的编程语言和操作系统中都存在。在大多数操作系统中退出状态码为 0 表示程序成功执行并正常退出非零值 则表示发生了某种错误或异常情况。具体的状态码含义可能因编程语言和操作系统而异可以根据需要自定义状态码的含义。
一些常见的退出状态码约定如下
0 程序成功执行并正常退出。非零值 表示不同的错误类型或异常情况。具体的状态码解释取决于程序的设计和需求。
退出状态码在脚本或命令行程序中很有用因为它 可以作为程序执行结果的指示并可以被其他程序或脚本进行处理。在脚本中可以通过读取其他程序的退出状态码来根据不同的情况采取相应的操作。
status
die() 函数存在 参数 status该参数用于设置当前程序的退出状态码。依据参数 status 的值的 数据类型die() 函数将 存在不同表现。
项目退出状态码输出数值数值本身可为 负数 无输出字符串0参数值将被输出至终端或页面中。其他类型包括布尔类型0参数值首先将被转换为字符串转换结果将输出至终端或页面中。
举个栗子
?phpdie(true);执行效果
上述脚本执行后将向终端或页面输出 1 并将退出状态码设置为 0。
1eval()
eval() 函数是 PHP 中的一个函数该函数用于执行 包含 PHP 代码的字符串并将其作为 PHP 脚本运行。eval() 函数的特性使得你可以 在程序运行时动态生成和执行 PHP 代码。尽可能不要使用 eval() 函数因为该函数容易引入一些潜在的安全风险。
举个栗子
?php$content Hello World;# 传递给 eval() 函数的字符串代码被执行时
# 所处的作用域与 eval() 函数所处的作用域一致。function func(){$content Hello China;# 传递给 eval() 函数的参数需要是一段有效的# PHP 脚本注意末尾的分号。eval(var_dump($content););
}func();eval(var_dump($content););执行效果
string(11) Hello China
string(11) Hello World三个判断语句
回顾一下 F1l1l1l1l1lag.php 页面的源代码。
?php
error_reporting(0);highlight_file(__FILE__);if (isset($_GET[get])){$get$_GET[get];if(!strstr($get, )){$get str_ireplace(flag, , $get);if (strlen($get)18){die(This is too long.);}else{eval($get);} }else {die(nonono); }}?F1l1l1l1l1lag.php 页面源代码中较为关键的是 三个 if 判断语句这是我们绕过该页面安全措施的关键。
第一个判断语句
F1l1l1l1l1lag.php 页面的第一个判断语句尝试判断客户端浏览器在访问本页面时是否正确传递 get 查询字符串参数。若有则将 get 查询字符串参数的值传递给 变量 get。
if (isset($_GET[get])){$get$_GET[get];
}第二个判断语句
F1l1l1l1l1lag.php 页面的第二个判断语句尝试判断 get 变量的值中是否存在 空格。若存在则立即终止程序并向终端或页面输出 nonono。若不存在则将 get 变量中的 flag 子文本不区分大小写替换为包含单个空格的字符串。
if(!strstr($get, )){$get str_ireplace(flag, , $get);}else {die(nonono); }第三个判断语句
F1l1l1l1l1lag.php 页面的第三个判断语句尝试判断 get 变量的值所占据的内存空间是否大于 18 字节。若是则终止程序并向终端或页面输出 This is too long.。若不是则通过 eval() 函数将 get 变量中值作为 PHP 代码进行执行。
if (strlen($get)18){die(This is too long.);}else{eval($get);} 绕过 F1l1l1l1l1lag.php
system()
PHP 提供的 system() 函数允许您使用 命令行工具并将命令的执行结果输出至页面或终端中。
function system( string $command, $result_code
): false|string其中
项目描述command该参数用以指定需要执行的命令。$result_code该参数接受一个变量在命令执行完毕后该变量将被设置为命令执行的 状态码该状态码的功能与退出状态码的功能类似。
system() 函数的返回值为命令执行过程中输出至终端或页面的 最后一行内容。
举个栗子
?php# 临时将终端的编解码方式设置为 UTF-8
# 防止输出内容乱码显示。
system(chcp 65001);$result_code ;
$last_line system(ping localhost, $result_code);
var_dump($last_line);
var_dump($result_code);执行效果
system() 函数将 阻塞 PHP 脚本直至 命令执行完毕。也正因如此上述示例中的 末两行代码 才能输出我们希望的内容。
Active code page: 65001Pinging TwoMoons [::1] with 32 bytes of data:
Reply from ::1: time1ms
Reply from ::1: time1ms
Reply from ::1: time1ms
Reply from ::1: time1ms Ping statistics for ::1:Packets: Sent 4, Received 4, Lost 0 (0% loss),
Approximate round trip times in milli-seconds:Minimum 0ms, Maximum 0ms, Average 0ms
string(47) Minimum 0ms, Maximum 0ms, Average 0ms
int(0)Linux 命令
ls
ls 命令是 Linux 及其他 类 Unix 操作系统中的一个常用命令用于 列举某个目录下的子目录与文件。
常用选项
在使用 ls 命令时可以携带一些选项这些选项能够对列举操作进行更为精细的选择。
选项描述-a列举所有文件和目录包括以在 Linux 系统中以点 . 开头的隐藏文件。-l以长格式列出文件和目录的 详细信息包括文件类型、权限、所有者、组、大小、修改日期等。-h使用 多种 数据存储单位而不是 仅使用 字节单位显示文件或目录大小。-t按 修改时间 降序排列文件和目录最近修改的文件将位于输出结果的上部分。-r在原排序结果的基础上进行 反向排序可以和其他排序选项如 -t一同生效。-F在文件和目录的名称后面添加 标志 以表示它们的类型例如以 / 结尾的名称表示目录以 * 结尾的名称表示可执行文件。-R递归列举 文件及目录。-S按 文件大小 降序排列最大的文件显示在顶部。-d仅列举目录 的相关信息而不显示目录中的文件。-i显示文件的 inode 编号inode 编号在 Linux 中用于唯一标识文件。-1以 单列方式 显示文件和目录每行一个条目适用于脚本处理。
这些选项可以单独使用也可以组合在一起以满足不同的需求。例如可以使用 ls -lta 来以长格式、按时间降序列出所有文件包括隐藏文件和目录。如需查看 ls 命令的完整选项列表和详细信息请在 Linux 终端运行 man ls 命令。
列举范围
在默认情况下执行 ls 命令将仅列举 当前工作目录 下的所有文件及目录。
例如当我在 / 目录下执行命令 ls 时Linux 将输出 / 目录下的所有文件及目录。
┌──(root㉿MyComputer)-[/]
└─# ls
bin dev home initrd.img.old lib32 libx32 media opt root sbin sys usr vmlinuz
boot etc initrd.img lib lib64 lostfound mnt proc run srv tmp var vmlinuz.old当然你也可以通过在 ls 命令的后面指定需要进行列举操作的文件夹来限制列举范围。
例如当我在 / 目录下执行命令 ls /home 时Linux 将输出 /home 目录下的所有文件及目录。
┌──(root㉿Black-Overcoat)-[/]
└─# ls /home
MyNamecat
cat 是 Linux 系统中一个常用的命令行工具用于查看、合并和创建文本文件。 查看文件内容 cat 命令最常见的用法查看文本文件的内容。例如查看一个名为 file.txt的文件可以运行以下命令 cat file.txt在默认情况下cat 命令会将获取到的内容输出至终端中。 将获取到的内容输出至文件中 使用 cat 命令可以获取某一文件中的内容搭配 输出重定向符号 或 追加重定向符号 则可以将获取到的文件内容重定向输出至其他文件文件中。 举个栗子 I. 获取 file.txt 文件中的内容并将其输出至文件 target.txt 中。若 target.txt 并不存在则创建它。若 target.txt 已经存在则覆盖它。 cat file.txt target.txtII. 获取 file.txt 文件中的内容并将其输出至文件 target.txt 中。若 target.txt 并不存在则创建它。若 target.txt 已经存在则将新获取到的内容追加到 target.txt 文件中已有内容的末尾。 cat file.txt target.txt多个文件合并 cat 是 concatenate 的缩写意味 连接。cat 命令可以 将多个文件的内容连接在一起并将结果输出到终端或另一个文件中。例如要将 file1.txt 和file2.txt 的内容连接并显示在终端上可运行如下命令 cat file1.txt file2.txt显示行号 在使用 cat 命令的同时使用-n选项。cat 将在 获取到的每一行的内容的起始部分标注行号。 cat -n file.txtURL 字符编码
URL 字符编码是一套转换依据其功能主要有以下三点
将非 ASCII 字符文本转换为 ASCII 字符文本去除语义将不可见字符如空格转换为可见文本
将非 ASCII 字符文本转换为 ASCII 字符文本
URL 中的中文等非 ASCII 字符在 通过网络传输前 需要通过 URL 编码进行转换以使其符合 URL 的设计原则URL 基于 ASCII 字符集进行设计。
在 PHP 中可通过内置函数 urlencode() 将非 ASCII 文本转换为 URL 编码字符。对此请参考如下示例
?phpvar_dump(urlencode(Hello World));
var_dump(urlencode(你好中国));
var_dump(urlencode(你好I am a space世界));执行效果
string(11) HelloWorld
string(45) %E4%BD%A0%E5%A5%BD%EF%BC%8C%E4%B8%AD%E5%9B%BD
string(48) %E4%BD%A0%E5%A5%BDIamaspace%E4%B8%96%E7%95%8C去除语义
URL 中的 特殊字符 需要通过 URL 字符编码来进行转换以使其 失去其在 URL 中的特殊含义。
举个栗子
查询字符串由 一个或多个参数 组成每个参数之间使用 符号 进行 分隔。如果查询字符串中的某一个参数中包含 符号请问 阁下如何让程序将这个 理解为参数中的内容而不是参数与参数之间的连接标识呢
此时URL 字符编码 去除语义 的作用就体现出来了。通过将参数中的 进行 URL 编码以使得程序不再将其作为参数与参数之间的连接符来进行看待而只是将其视为普通的文本内容。
具体而言
?usernameRedHeartmyflagx这段查询字符串仅包含两个参数username 的参数值为 RedHeart而 myflag 的参数值为 x。
但实际上这段查询字符串将被程序理解为三个参数其中 username 的参数值为 RedHeart而 myflag 与 x 的参数值均为 空什么也没有。
解决方案
将参数中的具有 URL 语义的特殊字符 转换为其对应的 URL 编码 %26使 失去其语义即可。
?usernameRedHeartmyflag%26x%26将不可见字符如空格转换为可见文本
空格和其他 空白字符 在 URL 中 不易阅读可能导致 混淆或误解。通过将空白字符转换为 可识别 的形式能够增强 URL 的 可读性及准确性。
注
在 URL 中空格将被转换为 而制表符将被转换为 %09。
捉迷藏
通过将 get 参数的值设置为 system() 语句我们将能够使用命令行工具。ls 命令行工具将能够帮助我们摸清服务器的文件结构。对此构造如下查询字符串
?getsystem(ls);注
get 参数的参数值将作为 eval() 函数的参数而 eval() 函数将字符串形式的 PHP 代码进行执行故请不要忘记 末尾的分号虽然这分号看着有些别扭但这是有效 PHP 语句不可或缺的部分。
执行效果
?getsystem(ls); 中的单引号将被浏览器进行 URL 编码 其编码结果为 %27。
破壁
flag.php
在列举当前工作目录中的文件时我们发现了一个较为特殊的 PHP 文件 flag.php。尝试使用 cat 命令行工具将其中的内容进行获取构造如下查询字符串
?getsystem(cat flag.php);不要忘记F1l1l1l1l1lag.php 页面的三个判断语句将过滤 get 参数的值中的空格及 flag 文本。
嵌套 eval()
既然 get 参数的值存在限制那么我们可以将 get 的值设置为 eval($_GET[?]); 理论上? 可以表示任何文本来接收另一个参数名为 ? 的值并将其作为 PHP 代码执行。这样判断语句将检查 get 参数而实际起破坏作用的代码却被我们转移到了另一个参数 ? 中。对此构造如下查询字符串
?geteval($_GET[x]);xsystem(cat flag.php);执行效果
页面空空如也是我们的想法禁不住考验吗 还记得吗PHP 代码的起始部分和结束部分如果有的话包含 尖括号而 HTML 页面会将尖括号包裹的内容视为标签用以构建页面的结构。虽然 ?php ... ? 在 HTML 中并不能起到啥作用但 HTML 已经将其视为功能性标签故不会将其显示在页面中。
此时我们需要访问页面的源代码以获取 flag.php 文件中的内容。快捷键 Ctrl-U 或 页面中右键点击查看源代码 以查看页面源代码。当然你也可以通过浏览器提供的 开发者工具 查看页面源代码。
在页面的源代码中我们获取到了这么一段 PHP 代码
?php
$FLAG file_get_contents(/flag);?这段代码意在提示我们 真正的 flag 存在于文件 /flag 中。
/flag
构造如下查询字符串获取 /flag 中的内容即得 flag。
?geteval($_GET[x]);xsystem(cat /flag);其他绕过姿势
实际上这类命令执行漏洞的题目flag 往往存在于 根目录下的某个文件 中。在大多数情况下获取其他路径下的包含 flag 相关字样的文件在本题中是 flag.php中的内容是多此一举。这意味着我们可以直接通过 cat 及通配符获取根路径 / 下的所有文件的内容。你可能会认为这将获取到 太多的文件内容 而导致目标内容 难以被筛选 出来。事实上根路径下 多为目录而 cat 作用在目录上将 不会获取到任何内容。 假使上述猜想成立我们现在需要解决的问题就是 绕过判断语句对空格的过滤。
借力打力
仔细观察 F1l1l1l1l1lag.php 页面中的源代码你会发现第二个判断语句将空格过滤了但却执行了将 flag 替换为 空格 的操作这意味着我们可以 将 flag 当作空格使用。判断 get 参数值的长度是否大于 18 字节 语句在替换发生之后因此使用 4 个字节大小的 flag 代替空格并 不会导致 get 参数值的长度大小控制过于窘迫。
if (isset($_GET[get])){$get$_GET[get];if(!strstr($get, )){$get str_ireplace(flag, , $get);if (strlen($get)18){die(This is too long.);}else{eval($get);} }else {die(nonono); }}因此使用如下查询字符串访问页面即可得 flag
?getsystem(catflag/*);%09
既然空格被过滤了那我们可以尝试使用同为空白字符的 制表符大多数情况Tab 键按下即得制表符代替空格。但浏览器界面下按下 Tab 键意味着 切换焦点元素这使得我们无法正常输入 制表符。通过使用制表符的 URL 编码形式 %09 即可解决这个问题。
因此使用如下查询字符串访问页面即可得 flag
?getsystem(cat%09/*);
