本文共 1574 字,大约阅读时间需要 5 分钟。
作为一名安全研究人员,我最近在进行一项PHP代码审计任务,目标是找到如何绕过安全措施来获取flag。本文将详细描述我所发现的两个主要漏洞以及利用它们的步骤。
首先,观察代码中的MD5比较逻辑:
$id = $_GET['id'];$gg = $_GET['gg'];if (md5($id) === md5($gg) && $id !== $gg) { // 通过此条件} 这个逻辑似乎在检查两者是否有相同的MD5哈希值,但同时要求$id和$gg不相等。理论上,这意味着即使$id和$gg是不同的值,只要它们的MD5哈希值相同,就能通过这个检查。
但是,这里存在一个潜在的问题:如果$id和$gg是数组,那么我们可以通过构造查询参数来绕过这个检查。例如:
?id[]=1&gg[]=2
这样,$id和$gg都被解析为数组,每个元素分别是1和2。由于md5(1) === md5(2),所以条件将被满足。
接下来,观察密码验证逻辑:
$passwd = $_POST['passwd'];if (!is_numeric($passwd)) { if ($passwd == 1234567) { // 成功验证 } else { // 密码错误 }} else { // 密码不是数字} 这个逻辑似乎在检查密码是否为数字,但后续又要求密码等于1234567。这里存在一个矛盾:如果密码不是数字,但等于1234567,那么它也能通过验证。
因此,通过构造一个非数字的密码但等于1234567,就可以绕过is_numeric检查。例如:
POST /flag.php?passwd=1234567
在代码中,highlight_file函数被用来显示文件内容。然而,highlight_file可能可以被用来读取flag的位置。同时,system函数被用来执行外部命令:
system("nmap -T5 -sT -Pn --host-timeout 2 -F $host"); 这里,nmap被用来对目标主机进行扫描。通过构造合适的参数,可以使用nmap将扫描结果写入文件。例如:
-host=172.17.0.2 -oG /tmp/result.txt
这样,扫描结果将被写入/tmp/result.txt文件中。
在代码中,escapeshellarg和escapeshellcmd被用来对输入参数进行转义,以防止恶意代码注入。例如:
$host = escapeshellarg($host);$host = escapeshellcmd($host);
为了确保命令能够正确执行,输入参数需要被正确转义。例如:
$host = '172.17.0.2';$host = escapeshellarg($host); // 转义为 '172.17.0.2'$host = escapeshellcmd($host); // 转义为 '172.17.0.2\'
最终,system函数将执行:
curl '172.17.0.2\' -v -d a=1
这可以通过蚁剑进行解析并连接到目标服务器。
nmap将扫描结果写入文件,获取目标信息。escapeshellarg和escapeshellcmd,确保命令安全执行。通过以上步骤,可以成功绕过代码中的安全措施,获取flag的位置并进一步攻击。
转载地址:http://ahlx.baihongyu.com/