首页 > 代码库 > ctf代码审计:

ctf代码审计:

1.变量覆盖:

①:针对extract函数的变量覆盖漏洞:

 1 <?php
 2 @error_reporting(E_ALL^E_NOTICE);
 3 require(‘config.php‘);
 4 
 5 if($_GET[‘show_source‘] === ‘1‘) {
 6     highlight_file(__FILE__);
 7     exit;
 8 }
 9 
10 $user = null;
11 
12 // connect to database
13 
14 if(!empty($_POST[‘data‘])) {
15     try {
16         $data = json_decode($_POST[‘data‘], true);
17     } catch (Exception $e) {
18         $data = [];
19     }
20     extract($data);
21     if($users[$username] && strcmp($users[$username], $password) == 0) {
22         $user = $username;
23     }
24 }
1  <?php if($user == ‘admin‘) printf("<code>%s</code>", htmlentities($flag)); ?>

当$user=“admin”时,输出flag

向上看,$user =$username

则需要使$username="admin"

if成立的条件是$users[$username]不为空并且需要满足$users[$username]=$password

我们在不知道$password的情况下需要使$users[$username]=$password成立。

再向上看extract()函数,此函数为变量注册函数,将数组中的数据以键名为变量名,键值为变量值的形式注册变量。

那在这就存在变量覆盖问题,我们可以传入任意构造$password的值覆盖原有的$password的值。

即构造data=http://www.mamicode.com/{"username":"admin","password":"123","users":{"admin":"123"}}即可得到flag

技术分享

 ②:基于parse_str()函数的变量覆盖漏洞

 1 <meta charset="utf-8">
 2 error_reporting(0);
 3 if (empty($_GET[‘b‘])) {
 4     show_source(__FILE__);
 5     die();
 6 }else{
 7     include(‘flag.php‘);
 8 $a = "www.XMAN.com";
 9 $b = $_GET[‘b‘];
10 @parse_str($b);
11 if ($a[0] != ‘QNKCDZO‘ && md5($a[0]) == md5(‘QNKCDZO‘)) {
12     echo $flag;
13 }else{
14 exit(‘你的答案不对0.0‘);
15 }
16 }

输出flag的条件为$a[0] != ‘QNKCDZO‘ && md5($a[0]) == md5(‘QNKCDZO‘)

parse_str — 将字符串解析成多个变量,如果参数str是URL传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域。

由于此函数的作用可以将$a[0]的值覆盖,则在需要找一对md5碰撞即可。

即传b=a[0]=s155964671a即可得到flag

ctf代码审计: