本文共 1574 字，大约阅读时间需要 5 分钟。

PHP代码审计：绕过安全措施获取flag

作为一名安全研究人员，我最近在进行一项PHP代码审计任务，目标是找到如何绕过安全措施来获取flag。本文将详细描述我所发现的两个主要漏洞以及利用它们的步骤。

一、MD5三等号比较

首先，观察代码中的MD5比较逻辑：

$id = $_GET['id'];$gg = $_GET['gg'];if (md5($id) === md5($gg) && $id !== $gg) {    // 通过此条件}

这个逻辑似乎在检查两者是否有相同的MD5哈希值，但同时要求$id和$gg不相等。理论上，这意味着即使$id和$gg是不同的值，只要它们的MD5哈希值相同，就能通过这个检查。

但是，这里存在一个潜在的问题：如果$id和$gg是数组，那么我们可以通过构造查询参数来绕过这个检查。例如：

?id[]=1&gg[]=2

这样，$id和$gg都被解析为数组，每个元素分别是1和2。由于md5(1) === md5(2)，所以条件将被满足。

二、是非数字判断

接下来，观察密码验证逻辑：

$passwd = $_POST['passwd'];if (!is_numeric($passwd)) {    if ($passwd == 1234567) {        // 成功验证    } else {        // 密码错误    }} else {    // 密码不是数字}

这个逻辑似乎在检查密码是否为数字，但后续又要求密码等于1234567。这里存在一个矛盾：如果密码不是数字，但等于1234567，那么它也能通过验证。

因此，通过构造一个非数字的密码但等于1234567，就可以绕过is_numeric检查。例如：

POST /flag.php?passwd=1234567

三、利用系统函数

在代码中，highlight_file函数被用来显示文件内容。然而，highlight_file可能可以被用来读取flag的位置。同时，system函数被用来执行外部命令：

system("nmap -T5 -sT -Pn --host-timeout 2 -F $host");

这里，nmap被用来对目标主机进行扫描。通过构造合适的参数，可以使用nmap将扫描结果写入文件。例如：

-host=172.17.0.2 -oG /tmp/result.txt

这样，扫描结果将被写入/tmp/result.txt文件中。

四、利用转义函数

在代码中，escapeshellarg和escapeshellcmd被用来对输入参数进行转义，以防止恶意代码注入。例如：

$host = escapeshellarg($host);$host = escapeshellcmd($host);

为了确保命令能够正确执行，输入参数需要被正确转义。例如：

$host = '172.17.0.2';$host = escapeshellarg($host); // 转义为 '172.17.0.2'$host = escapeshellcmd($host); // 转义为 '172.17.0.2\'

最终，system函数将执行：

curl '172.17.0.2\' -v -d a=1

这可以通过蚁剑进行解析并连接到目标服务器。

五、绕过安全措施的总结

通过以上步骤，可以成功绕过代码中的安全措施，获取flag的位置并进一步攻击。

转载地址：http://ahlx.baihongyu.com/