参考文献:https://github.com/CHYbeta/Code-Audit-Challenges
1.php的Bug#69892
$users = array(
"0:9b5c3d2b64b8f74e56edec71462bd97a" ,
"1:4eb5fb1501102508a86971773849d266",
"2:facabd94d57fc9f1e655ef9ce891e86e",
"3:ce3924f011fe323df3a6a95222b0c909",
"4:7f6618422e6a7ca2e939bd83abde402c",
"5:06e2b745f3124f7d670f78eabaa94809", //hund
"6:8e39a6e40900bb0824a8e150c0d0d59f",
"7:d035e1a80bbb377ce1edce42728849f2",
"8:0927d64a71a9d0078c274fc5f4f10821",
"9:e2e23d64a642ee82c7a270c6c76df142",
"10:70298593dd7ada576aff61b6750b9118"
);
$valid_user = false;
$input = $_COOKIE['user'];
$input[1] = md5($input[1]);
foreach ($users as $user)
{
$user = explode(":", $user);
if ($input === $user) {
$uid = $input[0] + 0;
$valid_user = true;
}
}
if (!$valid_user) {
die("not a valid user\n");
}
if ($uid == 0) {
echo "Hello Admin How can I serve you today?\n";
echo "SECRETS ....\n";
} else {
echo "Welcome back user\n";
}
题目其实很容易理解,就是输入user[0]和user[1]
,其中user[0]==0
且user[1]=$users中的任意一个
看见0~10这些内容第一反应就是md5解密,都试过一遍之后发现只有第五个能解出来,user[0]=5;user[1]=hund
这个就可以得到你是普通用户的欢迎信息了,但是想要的是管理员的,所以得尝试将$uid=0
这个条件实现,这个时候就需用到php的Bug#69892
[2015-06-20 14:29 UTC] nikic@php.net 描述: ------------
var_dump([0 => 0] === [0x100000000 => 0]); //布尔(true)
所有版本:http://3v4l.org/Sjdf8</pre>
php运行在32位系统的会将数组的键 0x100000000=2^32=4294967296 变换为字符串,而在64位系统会直接 数组中的键4294967296 为unsigned long 类型 且等同于0
- 最后的payload
Cookie: user[4294967296]=5;user[1]=hund;
2.PHP 0819
<?php
// closure, because of namespace!
$challenge = function()
{
$f = Common::getGetString('eval');
$f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
if((strlen($f) > 13) || (false !== stripos($f, 'return'))){
die('sorry, not allowed!');
}
try{
eval("\$spaceone = $f");
}
catch (Exception $e){
return false;
}
return ($spaceone === '1337');
};
?>
通过get的eval参数
传入并赋值到变量f,然后经过str_replace()的过滤,要求长度小于13,并且不包含字符串return,接着执行eval,然后让`spaceone === '1337'返回True。最后一行
spaceone === '1337'`,要求类型和值都得相等。看一下str_replace(),过滤了单引号,双引号,所以如果直接get传参`index.php?eval='1337'`进去,在经过过滤后,到最后会变为spaceone=1337,不等。
可以用heredoc
构造绕过单引号
<<<EOF
内容
EOF;
内容中不能包括特殊符号,以一个变量起始,以相同的变量名+;
结束(还要再加上一个换行符!)
- 最终payload
?eval=<<<s%0a1337%0as;%0a