php函數(shù)漏洞的示例分析

這篇文章主要介紹了php函數(shù)漏洞的示例分析，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

PHP是世界上最好的語言，是的，php在世界上養(yǎng)活了兩類人，一類是編寫php代碼的人，一類是從事安全×××的這類人，因為在php中存在著有漏洞的函數(shù)。
在一定條件作用下，這些函數(shù)沒有按著函數(shù)發(fā)明者的意愿去解析。
在ctf的web世界中也算待了幾個月了，對學(xué)習(xí)當(dāng)中的遇到的有問題的函數(shù)略做一下總結(jié)。

md5()函數(shù)

定義：Md5()函數(shù)計算字符串的MD5散列

問題1：經(jīng)過MD5（）函數(shù)處理的字符串散列如果出現(xiàn)0e開頭的，在被php處理的時候會被認(rèn)為等于0。
源碼：

<?php
    $user=$_GET['user'];
    $pass=$_GET['pass'];
    if($user!=$pass){
        if(md5($user) == md5($pass)){
            echo "this is flag";
        }
        else{
            echo "no no no";
        }
    }else{
        echo "字符串不能相同";
    }

?>

代碼功能：判斷get方法傳入的參數(shù)的MD5的hash字符串是否相等，并且是在兩參數(shù)值不相等的情況下。
測試結(jié)果：

原理分析：
當(dāng)兩個字符串被MD5加密的時候，會產(chǎn)生以0e開頭的哈希值。Php進(jìn)行判斷的時候0e…會被看成科學(xué)計數(shù)法，0的n次方都是等于零。所以這兩個字符串被md5()加密后都等于零。
var_dump(0 == 0e123456)

問題2：處理數(shù)組的時候返回為null
源碼：

<?php
    $user=$_GET['user'];
    $pass=$_GET['pass'];
    if($user!=$pass){
        if(md5($user) == md5($pass)){
            echo "this is flag";
        }
        else{
            echo "no no no";
        }
    }else{
        echo "字符串不能相同";
    }

測試：

原理分析：
md5（string,raw）語法:string必須，規(guī)定要計算的字符串，raw可選，規(guī)定輸出格式，TRUE-16字符二進(jìn)制格式；false-默認(rèn)，32字符十六進(jìn)制數(shù)。
函數(shù)作者規(guī)定處理的字符串類型為str字符串型，才能正常輸出。傳遞數(shù)組無法處理。造成輸出結(jié)果為null

問題3：造成sql注入漏洞

某些查詢語句，特別是查詢密碼的時候，往往會使用md5（）函數(shù)處理后再去數(shù)據(jù)庫查詢對比，這樣就會造成一些風(fēng)險。
查詢語句：
Select from user where passwd = ‘.md5($password,true)’;
這個地方有一個特殊的字符串可以繞過，在你不知道密碼的情況下查詢到user表的內(nèi)容。
字符串：ffifdyop
測試：

可以看到字符串被md5（）加密后成為了 ‘ or ‘ 6…,
添加到查詢語句中就變成了
Select from user where password=’’or’6…’(…表示亂碼，并不影響查詢)
這時候我們將加密后的東西拿去到數(shù)據(jù)庫查詢一下。

看可以將數(shù)據(jù)庫中的所有的數(shù)據(jù)全部查出。
原理分析：
Or語句就不在贅述，只說一下，數(shù)據(jù)庫中的操作，在查詢的時候，where 的后面并不一定非要跟上參數(shù)才能夠查詢。

只要where后面的值不等于零，就表示true。等于零為false

并且where后面的值是字符串的時候，但是第一個是一個非零數(shù)的時候也能查詢所有有內(nèi)容

所以也解釋了，為甚前面亂碼依然成立的問題。

***擴(kuò)展同類函數(shù)：sha1()函數(shù)。具體用法相同。其哈希值0e開頭的有，sha1('aaroZmOk')   sha1('aaK1STfY') sha1('aaO8zKZF') sha1('aa3OFF9m')

ereg()函數(shù)

    定義：正則表達(dá)式匹配

問題1：可以00截斷
源碼：
if(isset($_GET['num'])){
if(ereg('^[a-zA-Z0-9]+$', $_GET['num']) === FALSE){
echo "請輸入符合要求的";
}else{
echo "您輸入的符合要求";
}
}
代碼分析:只有當(dāng)輸入數(shù)字和字母的時候，輸入正確，如果輸入包含符號的就會提示不正確。
漏洞利用：輸入123%00
看字符串中含有符號，應(yīng)該返回“請輸入符合要求的”的提示。但是漏洞就通過00截斷產(chǎn)生了

原理解析：
當(dāng)ereg（）函數(shù)碰到%00的時候，就會認(rèn)為字符串結(jié)束，并不會繼續(xù)往下檢測。
問題2：碰到參數(shù)是數(shù)組的返回為null
源碼相同，測試結(jié)果：

實現(xiàn)原理：因為返回為null，null != FALSE，所以匹配正確

intval()函數(shù)

    定義用法;
    獲取變量的整數(shù)值，允許以使用特定的進(jìn)制返回。默認(rèn)10進(jìn)制 
    注:如果參數(shù)為整數(shù)，則不做任何處理。

問題：可以構(gòu)造字符串繞過
測試：

問題解析：
通過上面的實驗說明，當(dāng)取回字符串整數(shù)的時候，如果字符串中含有非數(shù)字的字符，將會返回第一次出現(xiàn)非數(shù)字符的前面的整數(shù)。若果沒有數(shù)字返回0.

unset()函數(shù)

定義用法：unset() 銷毀指定的變量。

存在問題：可能銷毀原有定義的變量，進(jìn)行繞過

源碼：

$abc['a'] = true;

foreach(array('_GET','_POST') as $method) {
    foreach($$method as $key=>$value) {
      unset($$key);
    }
}

if ($abc['a'] == false) {
    echo 'flag {123}';
}

?>

測試：

解析：
如果unset變量存在請求參數(shù)當(dāng)中，便會出現(xiàn)銷毀變量實現(xiàn)繞過的現(xiàn)象。就如這里，通過$$符號，$key=abc;$$key=$abc;最后unset()函數(shù)便會變成unset($abc),將原來定義的$abc[‘a(chǎn)’]=true給銷毀。

extract()函數(shù)

定義用法：
extract() 函數(shù)從數(shù)組中將變量導(dǎo)入到當(dāng)前的符號表。
該函數(shù)使用數(shù)組鍵名作為變量名，使用數(shù)組鍵值作為變量值。針對數(shù)組中的每個元素，將在當(dāng)前符號表中創(chuàng)建對應(yīng)的一個變量。
EXTR_OVERWRITE - 默認(rèn)。如果有沖突，則覆蓋已有的變量。
EXTR_SKIP - 如果有沖突，不覆蓋已有的變量。
EXTR_PREFIX_SAME - 如果有沖突，在變量名前加上前綴 prefix。
EXTR_PREFIX_ALL - 給所有變量名加上前綴 prefix。
EXTR_PREFIX_INVALID - 僅在不合法或數(shù)字變量名前加上前綴 prefix。
EXTR_IF_EXISTS - 僅在當(dāng)前符號表中已有同名變量時，覆蓋它們的值。其它的都不處理。
EXTR_PREFIX_IF_EXISTS - 僅在當(dāng)前符號表中已有同名變量時，建立附加了前綴的變量名，其它的都不處理。
EXTR_REFS - 將變量作為引用提取。導(dǎo)入的變量仍然引用了數(shù)組參數(shù)的值。
這個函數(shù)的重點就是默認(rèn)將已經(jīng)有的變量給覆蓋掉

存在問題;將原來的變量覆蓋，進(jìn)行繞過

源碼：

    $a = 'yaun';  
    extract($_GET); 
    if($auth == 1){  
        echo "private!";  
    } else{  
        echo "public!";  
    }

測試：

問題解析：當(dāng)我傳遞a=1的時候，extract()函數(shù)發(fā)現(xiàn)有原來的變量，于是將原來變量的值覆蓋掉，變成a=1，在進(jìn)行if條件語句的判斷。

parse_str()函數(shù)

定義用法：
parse_str() 函數(shù)用于把查詢字符串解析到變量中，如果沒有array 參數(shù)，則由該函數(shù)設(shè)置的變量將覆蓋已存在的同名變量。 極度不建議 在沒有 array參數(shù)的情況下使用此函數(shù)，并且在 PHP 7.2 中將廢棄不設(shè)置參數(shù)的行為。此函數(shù)沒有返回值。

源碼：

  if(empty($_GET['id'])){
    show_source(__FILE__);
    die();
}else{
    include('flag.php');
    $a = "https://blog.51cto.com/12332766";
    $id = $_GET['id'];
    @parse_str($id);
    if($a[0] == 'yaun'){
        echo "yes is flag";
    }else{
        exit('其實很簡單，其實并不難');
    }
}

測試：

問題解析：
當(dāng)傳遞參數(shù)id=a[]=yaun的時候，經(jīng)過parse_str()函數(shù)的處理將a變成變量。但是原來有同名的變量，于是就將原來的變量覆蓋掉，同時覆蓋的還有變量的值。

變量覆蓋拓展：php中遇到$$的時候也會出現(xiàn)變量覆蓋的情況。詳情請到：https://blog.51cto.com/12332766/2120800。

strcmp()函數(shù)

定義用法：
Strcmp(string1,string2)函數(shù)比較兩個字符串

返回值：
0 - 如果兩個字符串相等
<0 - 如果 string1 小于 string2  >0 - 如果 string1 大于 string2

問題：處理數(shù)組的時候返回null

源碼“

$a="yaun";
$pass=$_GET['pass'];
if(strcmp($a, $pass) == 0){
    echo "成功";
}else{
    echo "失敗";
}

測試：

問題解析：
傳遞數(shù)組的時候，函數(shù)沒有辦法比較數(shù)組，返回null，php語言本身就是弱類型的語言，null==0 在數(shù)值上相等。但是在類型上不等。

is_numeric()函數(shù)

定義用法:
is_numeric() 函數(shù)用于檢測變量是否為數(shù)字或數(shù)字字符串。
如果指定的變量是數(shù)字和數(shù)字字符串則返回 TRUE，否則返回 FALSE

問題1：傳遞十六進(jìn)制的話，會讓檢測無效。
源碼：

$a=$_GET['num'];
if(is_numeric($a)){
    echo "您輸入的是數(shù)字";
}else{
    echo "請輸入合法字符";
}

測試：
輸入一串查詢語句轉(zhuǎn)換過得十六進(jìn)制

成功繞過函數(shù)的檢測
問題解析：這個函數(shù)不僅能夠檢測十進(jìn)制，同時還認(rèn)為十六進(jìn)制也是合法的。于是就可以構(gòu)造十六進(jìn)制的語句進(jìn)行繞過此函數(shù)。

preg_match()函數(shù)

定義用法：
Preg_match()函數(shù)匹配正則表達(dá)式。

返回值：
返回 pattern 的匹配次數(shù)。 它的值將是 0 次（不匹配）或 1 次，因為 preg_match() 在第一次匹配后 將會停止搜索。如果發(fā)生錯誤preg_match()返回 FALSE。
問題：如果在進(jìn)行正則表達(dá)式匹配的時候，沒有限制字符串的開始和結(jié)束(^ 和 $)，則可以存在繞過的問題
源碼：

$ip=$_GET['ip'];
if(!preg_match("/(\d+)\.(\d+)\.(\d+)\.(\d+)/",$ip)) {
  die('error');
} else {
   echo "this is flag";
}

測試：
輸入一個不符合匹配規(guī)則的字符串，依然返回flag

問題解析：
因為這個函數(shù)在執(zhí)行匹配規(guī)則的時候沒有說明是以什么開頭或者結(jié)尾，所以只需要在這個字符串中存在規(guī)定的字符，其他的字符也可以添加上去進(jìn)行繞過。

in_array()函數(shù)

定義用法：
in_array(search,array) 函數(shù)搜索數(shù)組中是否存在指定的值。

返回值：
如果給定的值 search 存在于數(shù)組 array 中則返回 true。如果沒有在數(shù)組中找到參數(shù)，函數(shù)返回 false。

$array=[0,1,2,'3'];  
var_dump(in_array('abc', $array)); 
var_dump(in_array('1bc', $array));

測試：

問題分析：
可以看到上面的情況返回的都是true,因為’abc’會轉(zhuǎn)換為0，’1bc’轉(zhuǎn)換為1。
在所有php認(rèn)為是int的地方輸入string，都會被強(qiáng)制轉(zhuǎn)換

unserialize()函數(shù)
具體使用方法見另一篇博客：https://blog.51cto.com/12332766/2121394

strpos()函數(shù)

定義用法：
strpos() 函數(shù)查找字符串在另一字符串中第一次出現(xiàn)的位置（區(qū)分大小寫）。
注釋：strpos() 函數(shù)是區(qū)分大小寫的。
注釋：該函數(shù)是二進(jìn)制安全的。

語法：
strpos(string,find,start)   string 必須，規(guī)定被搜索的字符串；find    必須，規(guī)定查找的字符串；start 可選，規(guī)定開始搜索的位置。
返回值：
返回字符串在另一字符串中第一次出現(xiàn)的位置，如果沒有找到字符串則返回 FALSE。注釋： 字符串位置從 0 開始，不是從 1 開始
源碼：

if(strpos($_GET['password'],'abc') == 0 ){
    echo '123';
}
else{
    echo '456';
}

傳遞一個數(shù)組進(jìn)去測試，使得返回結(jié)果是123

可以看到我們輸入的并不符合要求，但是還是給了123的輸出。
問題解析：
這個函數(shù)也是只解析string類型的字符串，給他個數(shù)組就不知道如何解析，于是就返回為null。Null==0！

strlen()函數(shù)

定義用法：
strlen() 函數(shù)返回字符串的長度

語法：
strlen(string) string-必須，規(guī)定要檢查的字符串。

源碼：

if(strlen($_GET['password']) == 0  ){
    echo '1233';
}else{

    echo '4566';
}

測試：
傳遞一個數(shù)組，使得返回為1233

問題分析：
這個函數(shù)也是只解析string類型的字符串，給他個數(shù)組就不知道如何解析，于是就返回為null。Null==0！

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“php函數(shù)漏洞的示例分析”這篇文章對大家有幫助，同時也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識等著你來學(xué)習(xí)!