php代码审计练习

challenge1

函数解析：

bin2hex()：

函数把 ASCII 字符的字符串转换为十六进制值。字符串可通过使用 pack() 函数再转换回去。

hex2bin() ：

函数把十六进制值的字符串转换为 ASCII 字符。

strrev() ：

函数反转字符串。

要想得到flag需要把字符串反解码，于是我们可以通过

1
2
3
4
5
6
7
8
9
10

<?php
$str = "1wMDEyY2U2YTY0M2NgMTEyZDQyMjAzNWczYjZgMWI4NTt3YWxmY=";
$str=base64_decode($str);
$str=bin2hex($str);
$str=strrev($str);
$str=hex2bin($str);
echo $str;
?>

得到flag{582a0f2c7e302244b110cc461f5cb100}

challenge2

要想得到flag，需要满足输入的时间介于 7 776 000和5 184 000之间，然后就会让系统等待这么久出现flag，当然我们不能等待这么久，所以可以选择科学技术法来绕过。php在转换科学计数法的时候，遇到的e会认为是字符，只会截取前面的数字，所以这里我们

1

payload=?time=6e6

就可以只需要等待6秒，绕过判断。

第一步

登录靶场地址，发现迎面而来也是一个熟悉的登陆界面。

一般有这种登录界面的，我们的首要目标都是先注册一个账号试试看。

然后登录我们的账号

肾么事Gopher协议

定义

但是它的特殊性在于它支持发出GET、POST请求:可以先截获get请求包和post请求包，在构成符合gopher协议的请求。gopher协议是ssrf利用中最强大的协议。

不知所措.jpg

打开环境，发现一排平平无奇的字母。

抓包发现仍然是同样的东西，遂及开始萌新的思考。

（此处省略三分….）

这排字符应该是为了给我们提示：告诉我们环境是php，需要提交参数file，而且file里还必须要含有test。看到file，就不得不让人想起文件包含漏洞，看到文件包含漏洞，就不得不让人想起php伪协议，遂构造php伪协议读取源码。

1

?file=php://filter/read=convert.base64-encode/resource=test

发现他会默认添加后缀php，于是我们加个.

1

?file=php://filter/read=convert.base64-encode/resource=test.

出现一小串字符进行解码

…………….

说明我最先认为flag是在一个叫做test的php文件下，是错误的。遂我们想要找到网站的源码，于是，想办法构造伪协议去看Index.php的源码！

然后我们继续找一下，发现

1

?file=php://filter/read=convert.base64-encode/resource=test/../index.

可以读取到网站index.php的源码

发现源码中除了要求有test以外，并没有对file有什么过滤。更加确定了文件包含漏洞。于是想到用data://伪协议来进行命令执行。

web1_此夜圆

一江春水何年尽，万古清光此夜圆

打开题目发现有php源码可以下载（最先点快了根本没发现，点进去一脸懵逼还扫了半天目录）下载下来，发现源码。

这里哥们一看就知道是似曾相识题型。php反序列化。

简单的思路就是把我们输入的参数通过字符逃逸的方式，让密码等于yu22x，就可以得到flag

我们需要的是在最后构造一个**”;s:8:”password”;s:5:”yu22x”;}，(“;这两个符号是为了闭合前面的Firebasky字符串。后面的}是为了结束反序列化，让本来应该加入反序列化的“;s:8:”password”;s:1:”1”}**被舍弃掉)

这里一共有30个字符，而发现这里的过滤函数将Firebasky替换成Firebaskyup，一下子增加两个字符，算一下就需要填写15个Firebasky，所以我们可以构造

1

payload=?1=FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

然后通过get方式提交就可以得到flag了

cookie 和 session

cookie

Cookie意为甜饼，是一种身份认证证明，由于http是一种无状态的协议，服务器单从网络连接上无从知道客户身份，于是服务器就给客户端们颁发了一个通行证，每人一个，无论谁访问都必须携带通行证，这样就能确定客户的身份。这就是cookie的原理

cookie是一小段文本信息，当客户端请求服务器时，如果服务器需要记录用户状态，就通过response对客户端颁发cookie，客户端就会把cookie保存起来。借此以后请求的时候，就会带着cookie一起请求，来辨认用户状态，服务器还可以根据需要修改cookie的内容。

cookie用来管理服务器和客户之间的状态。

session

session是另一种记录客户状态的机制，不同的是cookie保存在客户端浏览器，但是session保存在服务器上，客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上，这就是session。之后客户端浏览器再次访问时就只需要从session中查找该客户状态就可以了。

SSRF漏洞

背景

SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。

SSRF的划分界限：

1. 只要能发起网络请求就是存在漏洞，因为有风险。
2. 只有访问到内网和本机（本机比内网更脆弱）才算存在SSRF。

CSRF与SSRF

CSRF跨站请求伪造，浏览器偷偷发包。

SSRF你可以控制目标站点，往其他网站发包。

CTF中的序列化和反序列化

序列化和反序列化概念

序列化就是将对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名

反序列化则相反将字符串重新恢复成对象

对象的序列化利于对象的保存和传输，也可以让多个文件共享对象

序列化中常见的魔法函数

1
2
3
4
5

__construct() 创建对象时调用
__destruct() 销毁对象时调用
__toString() 当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup 将在序列化之后立即被调用

一句话木马

概述

一句话木马又被称为Webshell，是为了到目前web服务目录继而提权获得系统权限，不论asp，php，jsp，aspx都是如此，那么一句话木马到底是什么呢？

最简单的一句话木马：

基本原理为利用文件上传漏洞，往目标网站中上传一句话木马，然后就可以在本地通过软件获取和控制整个网站目录。@表示后面即使执行错误，也不报错。eval()函数表示括号内的语句字符串什么的全都当作代码执行。$_POST[‘attack’]表示从页面中获得attach这个参数值。

入侵条件

要实现入侵必须满足三个条件

1
2
3

（1）木马上传成功，未被杀；
（2）知道木马的路径在哪；
（3）上传的木马能正常运行。

常见形式

常见的一句话木马：

php的一句话木马：
asp的一句话是： <%eval request (“pass”)%>
aspx的一句话是： <%@ Page Language=”Jscript”%> <%eval(Request.Item[“pass”],”unsafe”);%>

我们可以直接将这些语句插入到网站上的某个asp/aspx/php文件上，或者直接创建一个新的文件，在里面写入这些语句，然后把文件上传到网站上即可。

什么是XSS跨站点脚本攻击

攻击者在被攻击的web服务器网页中嵌入恶意脚本，通常使用js编写的恶意代码，当用户使用浏览器访问被嵌入恶意代码的网页时，恶意代码将会在用户的浏览器上执行。XSS其实也是注入的一种，前端注入。（用户输入的传参会被当作前端代码执行）

前端代码:HTML+CSS+JS

XSS属于针对客户端的攻击，受害者最终是用户。

网站管理人员也属于用户之一，攻击者可以通过XSS假冒管理员身份对网站实施攻击。

如果我们想要进入管理员后台

1. 通过后台地址，输入正确的账号。
2. 通过cookie（获得了管理员用户的权限）不用管理员账号密码进入后台。(这就是利用了XSS)

XSS攻击的危害

1. 盗取用户cookie

2. 修改网页内容

3. 网站挂马

4. 利用网站重定向

5. XSS蠕虫