bowu678 / php_bugs Goto Github PK

View Code? Open in Web Editor NEW

1.7K 1.7K 368.0 295 KB

PHP代码审计分段讲解

PHP 100.00%

php_bugs's Introduction

Hi 👋, I'm bowu

/网络上的一片自留地/

📄 Know about my experiences www.bowu8.com

你还很年轻，

将来你会遇到很多人，

经历很多事，

得到很多，

也会失去很多，

但无论如何，

有两样东西，

你绝不能丢弃，

一个叫良心，

另一个叫理想。

成功只有一个：

按照自己的方式，去度过人生。

Languages and Tools:

php_bugs's People

Contributors

Stargazers

Watchers

Forkers

cobolbaby moss1993 hephaestusa0 pboy0922 freegit9527 cn-leowong vtanrun ck00004 havysec nothingsec cankuxiaomu lovecppp osub alexchan1991 hainuo v3u3i87 k12f monburan super-lulu b1gw00d lw1988 webvul dictionaryhouse sec-db yiwang6 tuian fabiobaroni lucifaer 291824029 chybeta wilsonleeee zimocyl he1l0e rioru xnianq sublimter kyhvedn joinbaijun cyri1s ihater nighter233 yhdsir weaglew lcp0578 26597925 xiucaiwu seekroad loveshell yangyiyuan wazyl chenyongze lzy-wi wireghoul xxnbyy testtkxxd pengtao007 aerfa21 anhkggfork scanfsec wyc5911 le31ei fazx sud0h4c jjsmida viewer2018 v4n0m mehrdad-shokri echohun zlmfslx deelmind kenanat 6ug bertram888 stefanowen saulty4ish guoyu07 ioanlongjing whoisgh noob215 issxyq 0xmj harry1080 crack30 anon0ps icysun wh0amis fuhei delcoding doge-dog luckygay flxxyz xxxblog h4ck0ne arongmh security-prince qsdj dm2333 wasas porlockzzz shi-yangwang

php_bugs's Issues

第三题3.php

'ichunqiu'); echo base64_encode(gzcompress(serialize($user))); ?>

token = eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==

adv

建议php文件名可以改为英文...

08 SESSION验证绕过.php ：SESSION一直都是NULL啊，是不是题目源码缺失了？

刚开始学习审计

加油加油，谢谢

The answer to question three multiple encryption is wrong

right answer:
<?php $login = array('user' => "ichunqiu"); $token = base64_encode(gzcompress(serialize("ichunqiiu"))); print($token); echo '</br>'; print($login['user'] === 'ichunqiu');

2的解答

http://127.0.0.1/php_bugs/02%20.php?number=%00%0c121

第16题有人试成功了吗？

htmlentities()函数，单引号都被转义了，还注入个毛啊。。。。

勘误sha1()函数接收数组时返回的不是FALSE

php中哈希函数接收数组时，返回的不是FALSE，而是NULL

建议把php文件中的中文去掉。

在md文件里已经写了详情了，如果把php文件的中文去掉后，本地测试的时候也方便一些。

22题题解错误

请看图

这里的在is_numeric中返回true错误，应该是返回false趴
本地测试如：

题2-Fuzzing思路

http://127.0.0.1/Php_Bug/02.php?number=%00%2B191
%2B解析后为+，‘+191'=='191'且intval('191+')==191
(这道题解题思路如下

条件is_numeric($_REQUEST['number'])为假，这个绕过的方法很多使用%00开头也可以再POST一个number参数把GET中的覆盖掉也可以，所以这一步很简单。
要求 $req['number']==strval(intval($req['number']))
要求intval($req['number']) == intval(strrev($req['number']))
is_palindrome_number()返回False，这个条件只要在一个回文数比如191前面加一个字符即可实现
得到flag
看上述条件，条件4需要加字符但是加了之后需要满足2,3这两个条件所以就可以在原题目中简化出2,3,4来进行Fuzzing，简化后后端代码如下：

<?php
function is_palindrome_number($number) {
    $number = strval($number); //strval — 获取变量的字符串值
    $i = 0;
    $j = strlen($number) - 1; //strlen — 获取字符串长度
    while($i < $j) {
        if($number[$i] !== $number[$j]) {
            return false;
        }
        $i++;
        $j--;
    }
    return true;
}
$a = trim($_GET['number']);
var_dump(($a==strval(intval($a)))&(intval($a)==intval(strrev($a)))&!is_palindrome_number($a))
?>

Fuzzing代码如下：

import requests
for i in range(256):
    rq = requests.get("http://127.0.0.1/vuln/CTF/1/index.php?number=%s191"%("%%%02X"%i))
    if '1' in rq.text:
        print "%%%02X"%i