Как можно обойти проверку пароля?

Question

ReD @trinitr0

провинциальный админ

Как можно обойти проверку пароля?

Есть такой код с лазейкой (вроде как), для получения значения поля пароля из формы:

<?php
require 'flag.php';

if (isset ($_GET['password'])) {
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
		echo '<p class="alert">You password must be alphanumeric</p>';
	else if (strpos ($_GET['password'], '--') !== FALSE)
		die('Flag: ' . $flag);
	else
		echo '<p class="alert">Wrong passsword</p>';
}
?>

Есть ли способ как-то "обмануть" фильтрацию вводимых символов и получить значение переменной $flag?

Вопрос задан более трёх лет назад
1689 просмотров

Комментировать

Подписаться 7 Простой Комментировать

Решения вопроса 1

5 комментариев

ReD @trinitr0 Автор вопроса

Если я правильно понял, так это если отредактировать код. А как обойти фильтрацию при неизменных исходных условиях? Только через передаваемые параметры?

Написано более трёх лет назад
index0h @index0h

Нет, вы поняли не правильно. GET параметр может быть массивом

Написано более трёх лет назад
ReD @trinitr0 Автор вопроса

А как тогда передать массив через форму?

Написано более трёх лет назад
index0h @index0h

зачем нужна форма?
http://example.com/?password[]=1

Написано более трёх лет назад
anonlatte1 @anonlatte1

У него нет доступа к изменению кода на сервере. То, что написали вы, будет ему бесполезно. Нужно лишь изменить запрос

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 2

13 комментариев

synapse_people @synapse_people

будет считатся, там же ^$ в регулярке

Написано более трёх лет назад
anonlatte1 @anonlatte1

synapse_people, посмотри про уязвимость нулевого байта
Это задание с ctf, которое я решил, поэтому сам затести регулярку эту, передав в значение пароля какой-то текст%00--
Суть в том, что он удовлетворяет первому условию, ибо пропускает некорректный ввод благодаря этой инъекции, и в тоже время удовлетворяет наличию двух тире в пароле
Профит

Написано более трёх лет назад
synapse_people @synapse_people

anonlatte,var_dump(ereg ("^[a-zA-Z0-9]+$", "--\0x00"));
FALSE
что не так?

Написано более трёх лет назад
anonlatte1 @anonlatte1

synapse_people, ты понимаешь, что этот php файл не редактируется? Тебе нужно запрос в ссылке редактировать, а исходник этот изменить ты не сможешь, ибо он на сервере находится, доступ к которому у тебя закрыт. Там просто выдаётся ссылка на исходный код и ничего более

Написано более трёх лет назад
synapse_people @synapse_people

synapse_people, а ты понимаешь, что нулевой байт не пройдет проверку в этой регулярке?

Написано более трёх лет назад
anonlatte1 @anonlatte1

А ты сам не хочешь попробовать? Кидаю тебе таск и попробуй написать то, что сказал я, а потом закрой рот

regexp_pass.training.hackerdom.ru

regexp_pass.training.hackerdom.ru/?password=Hui
regexp_pass.training.hackerdom.ru/?password=Hui%00--

Написано более трёх лет назад
synapse_people @synapse_people

anonlatte, это проблема только ЭТОГО ГОВНО КОДА
К РЕГУЛЯРКАМ ОТНОШЕНИЯ НЕ ИМЕЕТ
var_dump(ereg("^test$", "test\0"));
var_dump(preg_match("/^test$/", "test\0"));
0
В любом случае КОД ГОВНО, ereg УСТАРЕЛ давно,удален.. в новых версиях пхп вообще убрали нулевые байты в регулярках.. так что, эта "уязвимость" скорее из прошлого века или че вообще такое

Написано более трёх лет назад
anonlatte1 @anonlatte1

synapse_people, а может просто у тебя знаний недостаточно, чтобы понять, что уязвимость нарочно оставлена? Это не говнокод, а часть задания организаторов. Погуглив эти функции можно узнать, почему не стоит их использовать

Написано более трёх лет назад
ReD @trinitr0 Автор вопроса

Как всегда, в споре находится истина!

Написано более трёх лет назад
ReD @trinitr0 Автор вопроса

Ну и такой вариант
http://regexp_pass.training.hackerdom.ru/?password[]=1
также срабатывает.

Написано более трёх лет назад
anonlatte1 @anonlatte1

ReD, хм, действительно
Ещё один вариант решения

Написано более трёх лет назад
ReD @trinitr0 Автор вопроса

С alnum.training.hackerdom.ru
совсем просто:
alnum.training.hackerdom.ru/?name=1&password=1

Написано более трёх лет назад
synapse_people @synapse_people

ReD, в случае массива как-раз все понятно, произойдет каст в строку "Array"...но почему strpos не FALSE?

Написано более трёх лет назад

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

Простой
Почему не применяются настройки xdebug.ini после изменения?
- 1 подписчик
- 2 часа назад
- 23 просмотра
0

ответов
PHP

+1 ещё

Простой
Как получить публичную ссылку на изображение с чата Телеграм?
- 1 подписчик
- 2 часа назад
- 31 просмотр
1

ответ
PHP

+1 ещё

Простой
Почему перестали отображаться новости на детальной странице новостей?
- 1 подписчик
- 3 часа назад
- 37 просмотров
1

ответ
PHP

Простой
Почему ломается передача по ссылке в foreach с указанием оператора опциональной последовательности для массива?
- 1 подписчик
- 4 часа назад
- 54 просмотра
1

ответ
PHP

+1 ещё

Простой
Почему ошибка 502 после миграции с PHP 8.2 на PHP 8.3?
- 1 подписчик
- 6 часов назад
- 99 просмотров
2

ответа
PHP

+1 ещё

Средний
Как получить телефон из Google OAuth 2.0 API?
- 1 подписчик
- 23 часа назад
- 47 просмотров
1

ответ
PHP

+1 ещё

Средний
Как запускать PHP в терминале Netbeans?
- 2 подписчика
- 23 часа назад
- 218 просмотров
0

ответов
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 1 подписчик
- вчера
- 96 просмотров
0

ответов
PHP

+1 ещё

Простой
Как в php формировать ответ на AJAX XMLHttpRequest запрос?
- 1 подписчик
- вчера
- 104 просмотра
0

ответов
PHP

+2 ещё

Средний
Запросы soap в инфоклинику на php?
- 1 подписчик
- 23 апр.
- 142 просмотра
2

ответа
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Midlle PHP developer (backend)

ИТЦ Аусферр • Магнитогорск

от 100 000 до 160 000 ₽

Сбор базы творческий коллективов

25 апр. 2024, в 16:03

5000 руб./за проект

Laravel для игрового сайта

25 апр. 2024, в 16:02

40000 руб./за проект

Увеличить трафик доски объявлений

25 апр. 2024, в 15:58

5000 руб./за проект

Answer 1 · 2018-02-26 00:06:42

index0h @index0h

PHP, Golang. https://github.com/index0h

$_GET['password'] = [''];

Ответ написан более трёх лет назад

5 комментариев

Answer 2 · 2018-02-26 06:30:32

Используй уязвимость, связанную с нулевым байтом
В конце строки добавь %00. Всё, что находится после этих символов, не будет регулярным читаться, но будет возможность вставить нужные символы, подходящие под условие получения флага
Решение таска example.com/?password=pass%00--

Answer 3 · 2018-02-26 12:36:52

asd111 @asd111

Нет.

Ответ написан более трёх лет назад

Комментировать

Как можно обойти проверку пароля?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт