题目简述:
代码审计是网络安全的重要学科,不严格的代码很容易产生漏洞,包括不安全的函数、未经校验的参数输入、不安全的控件等,不安全的代码会产生一系列漏洞,包括注入、命令执行、XSS、文件包含等等。PHP作为“地球最好的语言”,简单方便,也是弱类型语言。其存在大量的漏洞,在多次安全竞赛中不断出现。
登录界面
查看一下源代码:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>NSCTF</title>
</head>
<body>
<form name="form1" method="post" action="">
<table border="0">
<tr>
<td>代码审计是网络安全的重要学科,不严格的代码很容易产生漏洞,包括不安全的函数、未经校验的参数输入、不安全的控件等,不安全的代码会产生一系列漏洞,包括注入、命令执行、XSS、文件包含等等。PHP作为“地球最好的语言”,简单方便,也是弱类型语言。其存在大量的漏洞,在多次安全竞赛中不断出现。<br><br><a href="http://www.nsfocus.com" target="_blank">学习资料</a>,<br><br>工具:无。<br><br></td>
</tr>
<tr>
<td align="center">用户:<input type='text' name='user' /> <br />
</td>
</tr>
<tr>
<td align="center">账号:<input type='text' name='name'/><br />
</td>
</tr>
<tr>
<td align="center">密码:<input type='text' name='password' /> <br />
</td>
</tr>
<tr>
<td align="center">ID:<input type='text' name='id' /> <br />
</td>
</tr>
<tr>
<td align="center">
<input name="login" type="submit" id="login" value="Check"/></td>
</tr>
</table>
</form>
</body>
<!--
if(isset($_POST['login']))
{
if(isset($_POST['user']))
{
if(@strcmp($_POST['user'],$USER))//USER是被隐藏的复杂用户名
{
die('user错误!');
}
}
if (isset($_POST['name']) && isset($_POST['password']))
{
if ($_POST['name'] == $_POST['password'] )
{
die('账号密码不能一致!');
}
if (md5($_POST['name']) === md5($_POST['password']))
{
if(is_numeric($_POST['id'])&&$_POST['id']!=='72' && !preg_match('/\s/', $_POST['id']))
{
if($_POST['id']==72)
die("flag{xxxxxxxxxxxxx}");
else
die("ID错误2!");
}
else
{
die("ID错误1!");
}
}
else
die('账号密码错误!');
}
}
-->
</html>
大致分析一下,要拿到Flag需要经过五重if:
1. 第一个是strcmp函数,这里用到strcmp是为了限制输入的用户名,当输入的用户名与 $USER 的值一样时才能使得strcmp的返回值为0,否则非0,就会进入这个if,导致die,脚本终止。这里涉及到PHP中strcmp函数的漏洞。(细节点击链接)
要想办法绕过这个if,就要使得strcmp返回0。PHP中,当strcmp中的一个参数为数组类型时,PHP会发出警告并且返回NULL,也就是0。
示例
所以我们只需要将 $_POST['user'] 变为数组类型,根据网上资料提示,应该用burpsuite抓包,然后修改POST参数,如下:
原参数:user=&name=&password=&id=&login=Check
修改后:user[]=1&name=&password=&id=&login=Check
提交试一下:
根据前面的PHP代码,可以知道,现在已经绕过了strcmp。
2、3. 接下来是对 name 参数和 password 参数的认证,连续两个 if 都与它们有关,首先需要它们“不相等”,但是需要它们的md5值相同,所以,这里还是用到第 1 步的方法,当md5函数中的参数为数组类型时,函数会发出警告并且返回NULL,所以只要用和第一步一样的方法,将 name 参数和 password 参数都转换为数组类型,自然不会相同,并且 md5 返回值都是NULL。如下:
原参数:user[]=1&name=&password=&id=&login=Check
修改后:user[]=1&name[]=1&password[]=2&id=&login=Check
可以看到,已经绕过了这两个if。
4、5.接下来需要对参数 id 的验证进行绕过也是分为两个 if ,第一个 if ,is_numeric函数检测 id 是否为数字(整型和字符型的数字都算),并且要求 id 不等于 ‘72’, 还要求 id 中不能出现 空格、制表符之类的空白符号,防止攻击者输入空白符加数字从而绕过前面两个条件。解决办法很简单,直接在 id 框输入 072 就行了。至此已经完成了所有的绕过。
最终结果:
小结:
主要是利用了 PHP 中函数参数类型错误时的返回值的漏洞,只要对 PHP 理解比较深的话,就可以很容易做出来,对于初学者来说比较难发现。最后感谢大毛腿@Dane的帮助,没他做不出来。
