在利用动态脚本PHP做网站的时候,少不了要把一串字符串解析到变量中,比如一些用GET方式提交参数的网址URL,或一些带有参数"&"了字符串等等。当然PHP也给我们提供了一个强大的函数,可以让我用一行代码的形式完成这么复杂的工作。
-----------------------------------------------------------------------------------
变量覆盖漏洞是需要我们需要值得注意的一个漏洞,下面就对变量覆盖漏洞进行一个小总结。
背景 近期在研究学习变量覆盖漏洞的问题,于是就把之前学习的和近期看到的CTF题目中有关变量覆盖的题目结合下进一步研究。 通常将可以用自定义的参数值替换原有变量值的情况称为变量覆盖漏洞。经常导致变量覆盖漏洞场景有:$$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 本篇收集了几个CTF中的题目作为例子,对$$,extract(),parse_str()的问题进行总结。 $$导致的变量覆盖
变量覆盖,顾名思义,就是将原来变量的值给覆盖掉,变量覆盖漏洞有的时候可以直接让我们获取Webshell,拿到服务器的权限
文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)
我们经常使用$_GET和$_POST来进行服务器交互,但是我们有的时候不得不被逼使用$_PUT方法获取数据 当然,php中是没有$_PUT的,但是我们可以使用 $_SERVER[‘REQUEST_METHOD’]来判断,因为我们这个服务器变量会是PUT 这样我们十一哦那个parse_str就可以分割开put的变量 put.php页面代码 $_PUT = array(); if (‘PUT’ == $_SERVER[‘REQUEST_METHOD’]) { parse_str(file_get_c
此时输出的信息是"人畜无害"的,但是如果在$a前面再加上一个$的话,那输出的内容就不一样了,如图所示:
什么是变量覆盖呢? 变量覆盖指的是用我们自定义的参数值替换程序原有的变量值, 一般变量覆盖漏洞需要结合程序的其它功能来实现完整的攻击。
织梦dedecms,在整个互联网中许多企业网站,个人网站,优化网站都在使用dede作为整个网站的开发架构,dedecms采用php+mysql数据库的架构来承载整个网站的运行与用户的访问,首页以及栏目页生成html静态化,大大的加快的网站访问速度,以及搜索引擎的友好度,利于百度蜘蛛的抓取,深受广大站长以及网站运营者的喜欢。最近我们发现dedecms漏洞,存在高危的parse_str函数sql注入漏洞。
注释:php.ini 文件中的 magic_quotes_gpc 设置影响该函数的输出。如果已启用,那么在 parse_str() 解析之前,变量会被 addslashes() 转换。
作者:matrix 被围观: 1,539 次 发布时间:2015-05-17 分类:兼容并蓄 | 3 条评论 »
1> mixed parse_url ( string $url [, int $component = -1 ] )
对象调用某个方法, 若方法存在,则直接调用; 若不存在,则会去调用__call函数
extract、import_request_variables、parse_str、$$
最近在跟师傅们讨论代码审计技巧的时候,好几个师傅都提到了变量覆盖漏洞,对于这一块的知识我并不是了解很多,网上的说明或多或少的都有一些粗略和不足,所以在这几天闲暇之余,我特意地将PHP变量覆盖漏洞进行了系统的总结,在此记录一下,个人难免会有疏漏和不足之处,非常欢迎各位师傅的补充与纠正
前言 小编入门代码审计时看的几篇写的比较经典的PDF文档之一,分享出来希望能帮助到想学习代码审计的小伙伴。 [目录] 1. 前言 2. 传统的代码审计技术 3. PHP版本与应用代码审计 4. 其他的因素与应用代码审计 5. 扩展我们的字典 5.1 变量本身的key 5.2 变量覆盖 5.2.1 遍历初始化变量 5.2.2 parse_str()变量覆盖漏洞 5.2.3 import_request_variables()变量覆盖漏洞
虽然PHP是世界上最好的语言,但是也有一些因为弱类型语言的安全性问题出现。WordPress历史上就出现过由于PHP本身的缺陷而造成的一些安全性问题,如CVE-2014-0166 中的cookie伪造就是利用了PHP Hash比较的缺陷。 当然一般这种情况实战中用到的不是很多,但是在CTF竞赛中却是一个值得去考察的一个知识点,特此记录总结之。 一、精度绕过缺陷 理论 在用PHP进行浮点数的运算中,经常会出现一些和预期结果不一样的值,这是由于浮点数的精度有限。尽管取决于系统,PHP 通常使用 IEEE 7
ignore_user_abort() ,可以实现当客户端关闭后仍然可以执行PHP代码,可保持PHP进程一直在执行,可实现所谓的计划任务功能与持续进程,只需要开启执行脚本,除非 apache等服务器重启或有脚本有输出,该PHP脚本将一直处于执行的状态;
1.MD5 compare漏洞 PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a s214587387a sha1(str) sha1('aaroZmOk') sha1('aaK1ST
变量覆盖 变量覆盖是指变量未被初始化,我们可以自定义参数值替换程序原有的变量值 extract()变量覆盖 int extract ( $array , extract_rules,prefix ) $array 关联的数组,受第二个和第三个参数的影响 extract_rules 对待非法/ 数字和冲突的键名的方法将根据取出标记 prefix 仅在第二个参数特殊时需要,添加前缀 危险函数 EXTR_OVERWRITE-默认。如果有冲突,则覆盖已有的变量。 EXTR_SKIP- 如果有冲突,不覆盖已有的变量。
如果 encoded_string 是 URL 传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域(如果提供了 result 则会设置到该数组里 )。
xctf环境无法登录,此题先更到这里 我们可以先代码审计,环境好了再写 在结合我们刚开始找的源代码,就是上传文件的操作。
这里考察的是 preg_match — 执行匹配正则表达式 这个表达式的匹配。我们可以参考官方文档
随着代码安全的普及,越来越多的开发人员知道了如何防御sqli、xss等与语言无关的漏洞,但是对于和开发语言本身相关的一些漏洞和缺陷却知之甚少,于是这些点也就是我们在Code audit的时候的重点关注点。本文旨在总结一些在PHP代码中经常造成问题的点,也是我们在审计的时候的关注重点。(PS:本文也只是简单的列出问题,至于造成问题的底层原因未做详细解释,有兴趣的看官可以自行GOOGLE或者看看底层C代码。知其然,且知其所以然)
本文实例总结了PHP常用字符串函数用法。分享给大家供大家参考,具体如下: 字符串函数 explore 使用一个字符串分割另一个字符串 结果为数组 <?php $str = 'a,b,c,d'; $re
脚本在对Stpe2那里进行了与手工不一样的处理,原因就是按照手工的方法进行编写的脚本会报错,具体是什么问题以及原因看文尾的分析。>值得一看!!!
比如有函数名 move_uploaded_file() ,接着看调用这个函数的代码是否存在为限制上传格式或者可以绕过
本文实例讲述了php字符串函数 str类常见用法。分享给大家供大家参考,具体如下:
“一句话木马”短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用,居家生活搞站越货必备神器。
php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。
Rust 中,有一个神奇的函数 parse。它定义在 std:str 下面。因为字符串中可以存放各种信息(如果加上序列化的话),对字符串的解析就显得特别重要,而且很通用。于是 Rust 就赋予了这个函数强大(几乎无限)的功能。
在日常的业务开发过程中,我们经常会有处理 URL 链接的需求,所以今天学习的函数其实都是大家经常会使用的一些函数。在之前的工作过程中,其实我对这些函数都只是有一个模糊的概念,知道,但是真要用得时候还是要看下文档才能确定真正要使用的是哪一个函数。因此,今天我们就当做是一次复习练习,主要是区分和搞清楚每个函数真正的用处。
声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
按照逻辑来说,360搜索和百度一样应该提供了识图,然后大概看了一下识图上传的图片应该是一直存着了,还有cdn加速
gfx-rs 是一个为 Rust 带来高效跨平台图形的项目,这篇文章包含该项目的主要里程碑、概念和回顾。
/* *@param String $url是请求地址 *@param Array $getData 是GET数据 *@param Array $postData */ public function Http($url, $getData, $postData) { if (!is_string($url) || (!is_array($getData)) || (!is_array($postData))) {
最近在深入学习反射 XSS 时遇到蝉知 CMS5.6 反射型 XSS 这个案列,乍一看网上的漏洞介绍少之又少,也没有详细的审计复现流程。虽然是 17 年的漏洞了,不巧本人正是一个喜欢钻研的人。这个 CMS 引起我极大的兴趣。在基本没有开发经验的前提下,目前只对 MVC 有一点很浅显的了解后我打算啃下这块硬骨头,并且这也是我第一个较完整的审计复现的一个 CMS,前前后后用了接近 3 天的时间才差不多搞懂触发的流程,对我来说可以说是非常艰难了,幸运的是我还是啃了下来。
友情提示:此篇文章大约需要阅读 13分钟58秒,不足之处请多指教,感谢你的阅读。订阅本站
作者:matrix 被围观: 11,477 次 发布时间:2014-05-12 分类:零零星星 | 20 条评论 »
一句话木马就是一段简单的代码,就这短短的一行代码,就能做到和大马相当的功能。一句话木马短小精悍,而且功能强大,隐蔽性非常好,在入侵中始终扮演着强大的作用。
附件地址用百度网盘的地址,附件文件链接方式设置了链接到真实软件地址,是可以正常使用的,如果文件链接方法选用链接到跳转页面,就跳转到百度报错页面 而且不只是百度网盘的不行,通过分析,如果使用远程地址,url中"&"之后的参数都读取不了,才造成连接错误。 求解决方法! 解决办法:将URL参数进行base加密 第一步: 打开 phpcmsmodulescontentfieldsdownfilesoutput.inc.php 找到
一句话木马就是只需要一行代码的木马,短短一行代码,就能做到和大马相当的功能。为了绕过waf的检测,一句话木马出现了无数中变形,但本质是不变的:木马的函数执行了我们发送的命令。
在用PHP进行浮点数的运算中,经常会出现一些和预期结果不一样的值,这是由于浮点数的精度有限 尽管取决于系统,PHP 通常使用 IEEE 754 双精度格式,则由于取整而导致的最大相对误差为 1.11e-16 非基本数学运算可能会给出更大误差,并且要考虑到进行复合运算时的误差传递
由于脚本语言和早期版本设计的诸多原因,php项目存在不少安全隐患。从配置选项来看,可以做如下的优化。
这个洞一年前就挖到了,然后2月份给了今年中旬比赛的XCTF Final(但是这个洞用不了因为题目需要RCE),因为比较久远,一直给忘记了。漏洞也是直接报给了开发者修复。
上周参与举办HCTF忙了大概50个小时,累的够呛,不过还是学到了很多东西,从一个全新的方式接触了赛棍们日站做题的思路,现在终于有机会闲下来记录一些东西。
如果开启了全局变量,则服务器端PHP脚本可以用username和password来获取到用户名和密码,这会造成极大的脚本注入危险。
我们知道PHP将查询字符串(在URL或正文中)转换为内部$GET或的关联数组$POST。例如:/?foo=bar变成Array([foo] => "bar")。值得注意的是,查询字符串在解析的过程中会
领取专属 10元无门槛券
手把手带您无忧上云