柚子快報激活碼778899分享：開發(fā)語言 PHP特性靶場

http://yzkb.51969.com/

1.web89

代碼講解?

1.代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include("flag.php");語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。 2.用戶輸入處理： 代碼通過$_GET['num']接收用戶輸入，并存儲在變量$num中。然后，它使用正則表達(dá)式檢查用戶輸入是否包含數(shù)字。如果用戶輸入中包含數(shù)字，程序?qū)⒔K止執(zhí)行并輸出"no no no!"。 3.類型轉(zhuǎn)換： 如果用戶輸入不包含數(shù)字，代碼嘗試將其轉(zhuǎn)換為整數(shù)（intval($num)）。如果轉(zhuǎn)換成功（即用戶輸入是一個非零整數(shù)），則會輸出標(biāo)志內(nèi)容。 4.漏洞分析： 代碼存在一個安全漏洞，即對用戶輸入的過濾不足。攻擊者可以通過構(gòu)造惡意輸入，繞過數(shù)字檢查，使程序執(zhí)行include("flag.php");并輸出標(biāo)志內(nèi)容。

解決

輸入/?num[]=1

回車之后出現(xiàn)flag

2.web90

1.文件包含： 代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include("flag.php");語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。2.用戶輸入處理：?代碼通過$_GET['num']接收用戶輸入，并存儲在變量$num中。然后，它首先檢查用戶輸入是否等于字符串"4476"，如果相等，則輸出"no no no!"并終止執(zhí)行。3.類型轉(zhuǎn)換： 如果用戶輸入不等于字符串"4476"，代碼嘗試將其轉(zhuǎn)換為整數(shù)（intval($num, 0)）。如果轉(zhuǎn)換成功且等于4476，則輸出標(biāo)志內(nèi)容。否則，輸出轉(zhuǎn)換后的整數(shù)值。4.漏洞分析： 通過將用戶輸入硬編碼為字符串"4476"，代碼試圖防止直接輸入4476以繞過漏洞。然而，由于存在類型轉(zhuǎn)換，攻擊者仍然可以通過輸入"0e4476"繞過數(shù)字檢查，使程序輸出標(biāo)志內(nèi)容。

解決

輸入?num=0x117c

3.web91

代碼講解

1.文件包含：?代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include('flag.php');語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。2.用戶輸入處理：?代碼通過$_GET['cmd']接收用戶輸入，并存儲在變量$a中。3.正則表達(dá)式檢查： 代碼使用兩個正則表達(dá)式檢查用戶輸入是否以"php"開頭（不區(qū)分大小寫）。如果用戶輸入以"php"開頭，那么代碼會進一步檢查是否完全匹配"php"，如果匹配，則輸出’hacker’；否則輸出標(biāo)志內(nèi)容。如果用戶輸入不以"php"開頭，則輸出’nonononono’。4.漏洞分析： 此代碼存在一個安全漏洞，因為正則表達(dá)式檢查的邏輯導(dǎo)致了繞過。攻擊者可以通過在輸入中添加換行符\n或其他字符來繞過第一個正則表達(dá)式檢查，然后繞過第二個正則表達(dá)式檢查，最終輸出標(biāo)志內(nèi)容。

解決

輸入/?cmd=php%0a123

4.web92

1.文件包含：?代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include("flag.php");語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。2.用戶輸入處理： 代碼通過$_GET['num']接收用戶輸入，并存儲在變量$num中。3.條件判斷：?代碼首先檢查用戶輸入是否等于整數(shù)4476，如果相等，則輸出"no no no!"并終止執(zhí)行。然后，代碼再次檢查用戶輸入是否等于整數(shù)4476，如果相等，則輸出標(biāo)志內(nèi)容。如果用戶輸入不等于整數(shù)4476，則輸出轉(zhuǎn)換后的整數(shù)值。4.漏洞分析： 該代碼存在一個安全漏洞，即使用相等（==）進行比較。攻擊者可以通過輸入字符串"4476abc"，由于PHP的弱類型比較，該字符串會被轉(zhuǎn)換為整數(shù)4476，從而繞過第一個條件，最終導(dǎo)致輸出標(biāo)志內(nèi)容。

解決

輸入/?num=4476.1

5.web93

1.文件包含：?代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include("flag.php");語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。2.用戶輸入處理：?代碼通過$_GET['num']接收用戶輸入，并存儲在變量$num中。3.條件判斷：?代碼首先檢查用戶輸入是否等于整數(shù)4476，如果相等，則輸出"no no no!"并終止執(zhí)行。然后，代碼使用正則表達(dá)式檢查用戶輸入是否包含任何字母，如果包含字母，則輸出"no no no!"并終止執(zhí)行。最后，代碼再次檢查用戶輸入是否等于整數(shù)4476，如果相等，則輸出標(biāo)志內(nèi)容。如果用戶輸入不等于整數(shù)4476，則輸出轉(zhuǎn)換后的整數(shù)值。4.漏洞分析：?通過添加字母到用戶輸入，攻擊者可以繞過第一個條件，并且由于正則表達(dá)式不區(qū)分大小寫，仍然可以繞過第二個條件。因此，攻擊者可以輸入字符串"4476abc"，最終導(dǎo)致輸出標(biāo)志內(nèi)容。

解決

輸入/?num=4476.1

6.web94

1.文件包含：?代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include("flag.php");語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。2.用戶輸入處理：?代碼通過$_GET['num']接收用戶輸入，并存儲在變量$num中。3.條件判斷： 代碼使用了多個條件進行判斷：

（1）首先，檢查用戶輸入是否完全等于字符串"4476"，如果相等，則輸出"no no no!"并終止執(zhí)行。 （2）然后，使用正則表達(dá)式檢查用戶輸入是否包含任何字母，如果包含字母，則輸出"no no no!"并終止執(zhí)行。 （3）接著，使用strpos函數(shù)檢查用戶輸入中是否包含字符"0"，如果不包含，則輸出"no no no!"并終止執(zhí)行。 （4）最后，再次檢查用戶輸入是否等于整數(shù)4476，如果相等，則輸出標(biāo)志內(nèi)容。

4.漏洞分析：?盡管代碼嘗試通過多個條件來增加安全性，但在第三個條件中，使用strpos函數(shù)檢查是否包含字符"0"的邏輯存在問題。攻擊者可以通過輸入字符串"4476abc"，繞過前兩個條件，由于不包含字符"0"，繞過第三個條件，最終導(dǎo)致輸出標(biāo)志內(nèi)容。

解決

輸入/?num = 4476.0

7.web95

1.文件包含：?代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include("flag.php");語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。2.用戶輸入處理：?代碼通過$_GET['num']接收用戶輸入，并存儲在變量$num中。3.條件判斷：?代碼使用了多個條件進行判斷：

（1）首先，檢查用戶輸入是否等于整數(shù)4476，如果相等，則輸出"no no no!"并終止執(zhí)行。 （2）然后，使用正則表達(dá)式檢查用戶輸入是否包含任何字母或句點（.），如果包含，則輸出"no no no!!"并終止執(zhí)行。 （3）接著，使用strpos函數(shù)檢查用戶輸入中是否包含字符"0"，如果不包含，則輸出"no no no!!!"并終止執(zhí)行。 （4）最后，再次檢查用戶輸入是否等于整數(shù)4476，如果相等，則輸出標(biāo)志內(nèi)容。

4.漏洞分析：?雖然代碼嘗試通過多個條件來增加安全性，但在第二個條件中，使用正則表達(dá)式檢查是否包含字母或句點的邏輯存在問題。正則表達(dá)式/[a-z]|\./i可能會導(dǎo)致繞過，攻擊者可以通過輸入字符串"4476abc"，由于句點不被攔截，最終導(dǎo)致輸出標(biāo)志內(nèi)容。

解決

輸入/?num= +010574

8.web96

1.文件包含： 代碼使用highlight_file(__FILE__);將當(dāng)前文件的源代碼進行高亮顯示輸出。2.用戶輸入處理：?通過$_GET['u']接收用戶輸入，并存儲在變量$u中。3.條件判斷：?如果用戶輸入的值等于"flag.php"，則輸出"no no no"并終止執(zhí)行。否則，通過highlight_file($_GET['u']);將用戶輸入的文件名進行高亮顯示輸出。4.漏洞分析：?該代碼存在一個潛在的文件包含漏洞，因為用戶可以通過設(shè)置$_GET['u']為"flag.php"來阻止訪問敏感文件。此外，雖然代碼嘗試使用highlight_file()函數(shù)對用戶輸入進行高亮顯示，但仍可能存在安全風(fēng)險，因為用戶輸入未經(jīng)充分驗證。

解決

輸入/?u=./flag.php

9.web97

1.文件包含：?代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。include("flag.php");語句用于將該文件的內(nèi)容包含在當(dāng)前文件中。2.用戶輸入處理：?代碼使用$_POST['a']和$_POST['b']接收用戶輸入，并分別存儲在變量$a和$b中。3.條件判斷：

（1）首先，代碼通過isset($_POST['a']) and isset($_POST['b'])檢查是否同時設(shè)置了$_POST['a']和$_POST['b']。如果是，則執(zhí)行后續(xù)邏輯。 （2）然后，代碼比較$_POST['a']和$_POST['b']的值是否相等，如果不相等，則執(zhí)行下一步判斷。 （3）接著，代碼使用md5()函數(shù)對$_POST['a']和$_POST['b']的值進行哈希運算，并比較它們的哈希值是否相等。

如果相等，則輸出標(biāo)志內(nèi)容。 如果不相等，則輸出"Wrong."。

4漏洞分析：

這段代碼存在邏輯錯誤。即使輸入$_POST['a']和$_POST['b']不相等，但只要它們的MD5哈希值相等，就會輸出標(biāo)志內(nèi)容。這意味著攻擊者可以通過找到相同MD5哈希值的兩個不同輸入來繞過輸入檢查，從而導(dǎo)致輸出標(biāo)志內(nèi)容。 此外，MD5已經(jīng)被認(rèn)為是不安全的哈希算法，因為它容易受到碰撞攻擊，因此不建議在安全應(yīng)用中使用。

解決

輸入a[]=1&b[]=2

10.web98

1.文件包含：?代碼中包含了一個名為"flag.php"的文件，這是一個包含敏感信息（例如標(biāo)志）的文件。然而，由于代碼混亂，不易理解，實際上很難確定該文件是否會被正確地包含進來。2.邏輯混亂：?代碼使用了三元運算符和條件判斷，但邏輯非?；靵y和難以理解。例如，通過將$_GET賦值給$_POST，然后檢查$_GET['flag']是否等于’flag’，如果是，則將$_GET重新賦值給$_COOKIE或$_SERVER，然后根據(jù)$_GET['HTTP_FLAG']的值來輸出文件內(nèi)容。3.安全隱患：?這段代碼存在嚴(yán)重的安全隱患，包括但不限于：

代碼混亂難以維護，容易引入漏洞。 使用$_GET等超全局變量直接操作用戶輸入，存在安全風(fēng)險。 可能會導(dǎo)致文件包含漏洞，泄露敏感信息。 對輸入的驗證不充分，可能受到各種類型的攻擊，包括代碼注入和跨站腳本攻擊（XSS）等。

解決

輸入HTTP_FLAG=flag

11.web100

1.文件包含：?首先，代碼使用highlight_file(__FILE__);將當(dāng)前文件的源代碼進行高亮顯示輸出。然后，代碼包含了一個名為"ctfshow.php"的文件，該文件中包含了一個類ctfshow，其中包含了標(biāo)志信息。2.用戶輸入處理：?代碼接收了三個用戶輸入?yún)?shù)v1、v2、v3，分別存儲在變量$v1、$v2、$v3中。 條件判斷和邏輯處理：

變量$v0用于判斷三個輸入?yún)?shù)是否均為數(shù)字類型，但代碼中使用了邏輯操作符and，導(dǎo)致$v0的值實際上是一個布爾值，而不是判斷結(jié)果。這是一個常見的錯誤。 如果三個輸入?yún)?shù)均為數(shù)字類型，則進入條件判斷語句。 在條件判斷語句中，首先檢查$v2是否不包含分號;，如果是，則進入內(nèi)部條件判斷。 如果$v3包含分號;，則通過eval()函數(shù)執(zhí)行拼接的字符串，其中包含了$v2的值作為函數(shù)名和字符串'ctfshow'。

3.漏洞分析：

此代碼存在嚴(yán)重的安全漏洞，因為它使用了eval()函數(shù)執(zhí)行用戶輸入，而且沒有對用戶輸入進行充分的驗證和過濾。 攻擊者可以構(gòu)造惡意輸入，繞過條件判斷，注入任意代碼，并最終執(zhí)行在用戶輸入中指定的函數(shù)，可能導(dǎo)致嚴(yán)重的安全問題，包括代碼執(zhí)行漏

解決

輸入?v1=1&v2=var_dump($ctfshow)&v3=;

柚子快報激活碼778899分享：開發(fā)語言 PHP特性靶場

http://yzkb.51969.com/

精彩內(nèi)容