ctf中常见php特性_php特性 ctf，花三分钟看完这篇文章你就懂了_ctf中的php

作者：从前慢现在也慢 | 2024-06-03 09:18:55

踩

ctf中的php

if (mysqli_num_rows($result) > 0) {
// 用户登录成功
} else {
// 用户名或密码错误
}
?>

上述示例中，应用程序在处理用户输入的用户名和密码时没有进行充分的验证和过滤。攻击者可以构造恶意的输入，例如在用户名字段中输入' 'OR '1'='1，从而修改SQL语句的逻辑**（**其中原代码在用户名字段中输入' 'OR '1'='1后相当于逻辑变为SELECT * FROM users WHERE username=’ ’ OR (‘1’=‘1’ AND password=‘$password’)**如果用户名为空，那么条件表达式为真。如果用户名不为空，那么会继续判断第二个条件。如果第二个条件的两个子条件都为真，那么条件表达式为真。如果第二个条件的两个子条件中有一个或两个都为假，那么条件表达式为假。）**输入的数据改变了代码判断逻辑，直接将输入的用户名插入代码中，在代码逻辑里判断变为了黑体字部分，绕过密码验证，获取所有用户的信息。
12. ## 三、文件上传漏洞：允许攻击者上传恶意文件，从而执行任意代码或访问敏感信息。
13. 文件上传漏洞是一种常见的Web应用程序安全漏洞。它允许攻击者上传恶意文件到服务器，从而执行任意代码或访问敏感信息。
14. 示例

<?php if(isset($_FILES['file'])){ $targetDir = "uploads/"; $targetFile = $targetDir . basename($_FILES["file"]["name"]); if (move_uploaded_file($_FILES["file"]["tmp_name"], $targetFile)) { echo "文件上传成功"; } else { echo "文件上传失败"; } } ?>

攻击者可以利用这个漏洞上传恶意文件，例如包含恶意代码的PHP文件。在能够上传文件的CTF题目中常见
16. ## 四、安全绕过：攻击者通过绕过安全机制或授权验证来执行未经授权的操作。
17. 安全绕过是一种攻击技术，攻击者通过绕过应用程序或系统的安全机制或授权验证，从而执行未经授权的操作。安全绕过漏洞可能导致恶意用户获取未授权的权限，绕过访问控制，访问敏感信息或执行未经授权的操作。
18. 假设有一个Web应用程序，要求用户在登录后才能访问某些受保护的页面。应用程序在用户登录时会验证用户名和密码，并在验证成功后将用户重定向到受保护的页面。

然而，应用程序在登录验证中存在一个安全绕过漏洞。攻击者可能会发现，当用户登录后，应用程序在会话中设置了一个名为isAdmin的标记，用于标识用户是否具有管理员权限。管理员可以访问一些普通用户无法访问的特殊页面。

攻击者可能会通过修改浏览器中的会话数据，将isAdmin标记设置为true，而不需要实际具备管理员权限。这样，即使攻击者不是管理员，他们仍然可以通过这个安全绕过漏洞来访问管理员页面。
19. 示例

<?php session_start(); if ($_SERVER["REQUEST_METHOD"] == "POST") { $username = $_POST["username"]; $password = $_POST["password"]; // 省略了实际的用户名和密码验证 // 验证成功后设置会话数据 $_SESSION["loggedIn"] = true; $_SESSION["isAdmin"] = false; // 默认为非管理员 // 重定向到受保护的页面 header("Location: protectedPage.php"); exit; } ?>

在这个例子中，攻击者可以通过修改会话中的isAdmin标记，将其设置为true来绕过管理员权限检查。这样，攻击者可以访问他们原本无权访问的特殊页面，绕过了应用程序的授权验证。
21. ## 五、远程代码执行：通过漏洞，攻击者可以执行远程恶意代码，控制服务器或执行其他未经授权的操作。
22. 远程代码执行是一种严重的安全漏洞，攻击者通过利用应用程序或系统中的漏洞，将恶意代码注入到远程服务器上，从而执行未经授权的操作。

<?php $comment = $_POST['comment']; // 从用户输入获取评论内容 // 将评论存储到数据库 $conn = new mysqli('localhost', 'username', 'password', 'database'); $sql = "INSERT INTO comments (comment) VALUES ('$comment')"; $conn->query($sql); // 显示评论 echo $comment; ?>

在这个例子中，如果攻击者将恶意的PHP代码作为评论提交，如<?php phpinfo(); ?>，它会被存储到数据库，并在评论显示时执行。这种远程代码执行漏洞可能导致攻击者获得应用程序的控制权，执行任意的系统命令，访问敏感数据等。
24. ## 六、PHP类型强制转换：通过利用PHP的弱类型特性，攻击者可以绕过输入验证，执行非预期的操作。
25. PHP类型强制转换是指通过利用PHP的弱类型特性，攻击者可以绕过输入验证，执行非预期的操作。PHP是一种弱类型语言，它允许在不明确指定变量类型的情况下执行操作，而是根据上下文自动进行类型转换。攻击者可以利用PHP类型强制转换漏洞来执行各种恶意操作，例如绕过输入验证、绕过访问控制、绕过身份验证、执行未经授权的操作等。

<?php $isAdmin = $_GET['isAdmin']; // 从URL参数获取isAdmin的值 // 验证用户是否具有管理员权限 if ($isAdmin === "1") { echo "您是管理员"; } else { echo "您不是管理员"; } ?>

在这个例子中，应用程序期望用户的isAdmin参数为字符串"1"才会认为用户是管理员。然而，攻击者将isAdmin参数设置为字符串"0e123"，由于PHP的类型强制转换规则，这个字符串被解释为科学计数法的形式，而不是字符串。因此，0e123会被转换为浮点数0，绕过了管理员权限的验证。
27. ## 七、XSS漏洞：允许攻击者在网页中注入恶意脚本，攻击用户的浏览器。
28. XSS漏洞是一种常见的Web应用程序安全漏洞，允许攻击者在网页中注入恶意脚本，从而攻击用户的浏览器。

XSS漏洞通常发生在应用程序未正确验证和过滤用户输入的情况下。攻击者可以在受影响的应用程序中注入恶意脚本，当其他用户访问这些页面时，恶意脚本将在他们的浏览器中执行。
29. 存储型XSS：攻击者将恶意脚本存储在服务器上，当其他用户访问受影响的页面时，恶意脚本会从服务器加载并在用户的浏览器中执行。
30. 反射型XSS：攻击者将恶意脚本作为参数注入到受影响的URL中，当用户点击包含恶意脚本的URL时，恶意脚本会从URL中获取并在用户的浏览器中执行。
31. DOM-based XSS：攻击者利用客户端脚本动态修改页面的DOM结构，将恶意脚本插入到页面中，当其他用户访问受影响的页面时，恶意脚本会在他们的浏览器中执行。
32. ## 八、CSRF漏洞：允许攻击者伪造用户请求，执行未经授权的操作。
33. CSRF漏洞是一种Web应用程序安全漏洞，允许攻击者伪造用户请求，执行未经授权的操作。

CSRF漏洞通常发生在应用程序未能验证请求来源的情况下。攻击者可以通过诱使受害者访问包含恶意请求的页面，或通过其他方式欺骗受害者的浏览器发送恶意请求，来利用这个漏洞。
34. 以下是一个简单的示例来说明CSRF漏洞的概念：

假设有一个Web应用程序，允许用户通过一个表单来更改其电子邮件地址。应用程序在接收到用户提交的更改请求后，会将新的电子邮件地址存储到数据库中。

然而，应用程序在处理更改请求时，未验证请求的来源。攻击者可以诱使受害者访问一个包含恶意请求的网页。当受害者访问这个页面时，其中的恶意请求会自动发送给应用程序，导致受害者的电子邮件地址被更改为攻击者所指定的值。

<?php $email = $_POST['email']; // 从用户输入获取电子邮件地址 // 将电子邮件地址保存到数据库 $conn = new mysqli('localhost', 'username', 'password', 'database'); $sql = "UPDATE users SET email='$email' WHERE id=1"; $conn->query($sql); // 显示成功消息 echo "电子邮件地址已更改为： " . $email; ?>

在这个例子中，如果攻击者诱使受害者访问一个恶意网页，其中包含以下代码：

当受害者点击"点击这里领取奖品"按钮时，浏览器会自动发送一个POST请求到update_email.php，导致受害者的电子邮件地址被更改为攻击者指定的值。
36. ## 九、PHP函数注入：允许攻击者通过构造恶意参数来调用指定的函数，从而执行非授权的操作。
37. PHP函数注入是一种安全漏洞，允许攻击者通过构造恶意参数来调用指定的函数，从而执行非授权的操作。

PHP函数注入通常发生在应用程序未正确验证和过滤用户输入的情况下。攻击者可以通过在用户输入中注入恶意的函数调用，来执行意外的操作。

以下是一个简单的示例来说明PHP函数注入的概念：

假设有一个Web应用程序，允许用户通过一个表单搜索用户的姓名。应用程序将用户输入的姓名用作参数来调用searchUser函数，并返回与该姓名匹配的用户信息。

然而，应用程序在调用searchUser函数时未对用户输入进行适当的验证和过滤。攻击者可以构造恶意的姓名，其中包含一个函数调用，如searchUser('Alice'); phpinfo();。当应用程序将该恶意输入传递给searchUser函数时，恶意的phpinfo()函数也会被执行，显示服务器的敏感信息。

<?php $name = $_GET['name']; // 从URL参数获取姓名 // 调用searchUser函数来搜索用户 function searchUser($name) { // 查询数据库并返回匹配的用户信息 echo "搜索结果： " . $name; } // 调用searchUser函数 searchUser($name); ?>

在这个例子中，如果攻击者将name参数设置为恶意的值Alice'); phpinfo(); searchUser('Alice，那么恶意的phpinfo()函数会在searchUser函数执行时被调用，导致服务器的敏感信息被显示。
38. ## 十、变量覆盖：通过修改或篡改变量值，攻击者可以绕过访问控制或执行其他未经授权的操作。
39. 变量覆盖是一种安全漏洞，攻击者通过修改或篡改变量的值，绕过访问控制或执行其他未经授权的操作。

变量覆盖通常发生在应用程序未正确验证和保护变量的情况下。攻击者可以通过直接修改变量的值或通过构造恶意输入来篡改变量，从而改变应用程序的行为。

以下是一个简单的示例来说明变量覆盖的概念：

假设有一个Web应用程序，根据用户的权限显示不同的页面内容。应用程序根据用户的角色，将用户的权限存储在一个名为role的变量中，并根据该变量的值来确定用户应该看到的内容。

然而，应用程序在处理role变量时存在一个变量覆盖漏洞。攻击者可以通过在URL参数中添加?role=admin来修改role变量的值，将其篡改为admin，从而绕过访问控制，以管理员权限查看敏感信息。

<?php $role = $_GET['role']; // 从URL参数获取角色 // 根据角色显示不同的页面内容 if ($role === "admin") { echo "您是管理员，可以查看敏感信息"; } else { echo "您是普通用户，无权查看敏感信息"; } ?>

在这个例子中，如果攻击者将role参数设置为admin，应用程序将会根据恶意的变量值显示管理员权限的内容，即使攻击者没有管理员权限。
40. ## 十一、弱密码：使用弱密码或常见密码，攻击者可以轻松破解账户或访问敏感信息。
41. 弱密码是指使用弱密码或常见密码来保护账户或访问敏感信息的做法。弱密码容易被猜测、破解或通过暴力破解攻击等方式获取，从而使账户和信息处于风险之中。

以下是一些常见的弱密码特征和问题：
42. 简单密码：使用简单的、易于猜测的密码，如常见的密码"123456"、“password”、"qwerty"等。
43. 单词或词典密码：使用常见的单词、词组或词典中的密码，这些密码容易被猜测或通过字典攻击进行破解。
44. 缺乏复杂性：密码缺乏复杂性，未包含足够的字符类型（如大写字母、小写字母、数字和特殊字符）或长度不足。
45. 与账户相关的密码：使用与账户相关的信息作为密码，如用户名、生日、电话号码等，这些信息容易被猜测或通过社交工程攻击获取。
46. 重复使用密码：在多个账户或服务中使用相同的密码，一旦其中一个账户被破解，其他账户也将面临风险。
47. ## 十二、加密和解密漏洞：通过破解或绕过加密算法，攻击者可以访问或篡改敏感数据。
48. 加密和解密漏洞是指在加密和解密过程中存在的安全漏洞，攻击者通过破解或绕过加密算法，从而获取、访问或篡改敏感数据。

加密是将明文转换为密文的过程，以保护数据的机密性。解密是将密文转换回明文的过程，以恢复数据的可读性。加密和解密通常依赖于使用具有密钥的加密算法。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。