PHP安全漏洞实战：CTF解题与防御技巧

1. CTF解题实战：PHP安全漏洞深度剖析

作为一名长期活跃在CTF赛场的选手，我经常遇到各种基于PHP的安全挑战。今天我将分享四个典型赛题的详细解题过程，涉及会话伪造、MD5碰撞、文件上传和弱类型绕过等核心漏洞类型。这些技术不仅对比赛有用，对理解Web安全防御同样重要。

2. [HCTF 2018]admin - 会话伪造实战

2.1 题目初探与信息收集

打开题目首先看到登录/注册界面，这是典型的Web认证类题目。通过查看页面源码发现关键提示："you are not admin"，这明确指示我们需要获取admin权限。

现代Web应用通常使用会话机制（Session）管理用户状态。在CTF中，常见的会话伪造手段包括：

• Cookie篡改
• 会话ID预测
• 管理员凭证爆破

2.2 爆破攻击实施细节

使用Burp Suite抓取登录请求后，发送到Intruder模块。这里需要特别注意爆破点的设置：

1. 在username参数设置爆破点，保持password固定
2. 使用常见用户名字典（admin/root/administrator等）
3. 观察响应长度差异，通常成功登录的响应会不同

实际操作中发现用户"123"的响应长度异常，尝试登录后直接获取flag。这反映出开发者在实现上的几个问题：

• 未对管理员账户做特殊保护
• 未实施爆破防护（如验证码、请求限频）
• 错误信息过于详细

关键提示：在真实环境中，这种简单的用户名枚举漏洞可以通过以下方式防御：

• 统一化错误信息
• 实施账户锁定机制
• 使用多因素认证

3. [BJDCTF2020]Easy MD5 - 哈希碰撞的艺术

3.1 MD5特性深度解析

题目给出了关键SQL提示：

sql复制select * from 'admin' where password=md5($pass,true)

这里md5函数的第二个参数为true，表示返回原始16字节二进制格式。我们需要构造特殊输入，使其MD5哈希的二进制形式包含SQL注入片段。

MD5二进制注入的核心原理：

1. 寻找使哈希包含'or'的输入
2. 'or'后的字符必须为数字1-9（MySQL会将'数字'视为TRUE）
3. 整个表达式形成永真条件

3.2 科学构造碰撞输入

经过计算，字符串"ffifdyop"的MD5二进制形式满足：

code复制276f722736c95d99e921722cf9ed621c
→ 'or'6<乱码>

在MySQL中执行效果：

sql复制select * from admin where password=''or'6<乱码>' 
→ 等价于 where TRUE

3.3 PHP弱类型比较绕过

题目另一部分要求：

php复制if($a != $b && md5($a) == md5($b))

这里利用PHP的两个特性：

1. 数组的MD5值为NULL（NULL==NULL）
2. 0e开头的哈希会被视为科学计数法0

有效payload：

code复制?a[]=1&b[]=2
或
?a=QNKCDZO&b=240610708

4. [MRCTF2020]文件上传实战

4.1 .htaccess文件攻击

当直接上传PHP文件被拦截时，可以尝试上传.htaccess文件修改Apache解析规则：

apache复制AddType application/x-httpd-php .jpg

这样服务器就会将.jpg文件作为PHP执行。上传步骤：

1. 首先上传.htaccess（Content-Type改为image/jpeg）
2. 然后上传含马jpg文件
3. 使用蚁剑等工具连接

4.2 防御方案

开发者应该：

• 禁用.htaccess覆盖
• 检查文件内容而不仅是扩展名
• 将上传文件存储在非Web目录

5. [MRCTF2020]Ez_bypass - 弱类型大冒险

5.1 多阶段绕过详解

题目包含三层验证：

1. GET参数id和gg的MD5碰撞（同前）
2. POST参数passwd存在性检查
3. passwd非数字但值等于1234567

5.2 PHP类型魔术

关键利用PHP弱类型比较特性：

php复制"1234567a" == 1234567 // true
is_numeric("1234567a") // false

完整payload：

code复制GET: ?gg[]=1&id[]=2
POST: passwd=1234567a

6. 防御实践与经验总结

6.1 安全编码建议

1. 哈希安全：

   • 使用password_hash()替代md5()
   • 始终添加盐值

2. 类型安全：

   • 使用===代替==
   • 明确类型转换

3. 上传安全：

   • 白名单验证文件类型
   • 随机化存储文件名

6.2 CTF实战技巧

1. 遇到登录框优先尝试：

   • 默认凭证
   • SQL注入
   • 密码重置漏洞

2. MD5相关题目注意：

   • 原始二进制输出
   • 科学计数法特性
   • 数组特殊行为

3. PHP特性重点关注：

   • 弱类型比较
   • 字符串到数字转换
   • 特殊值处理（如0e开头数字）

在实际渗透测试中，这些技术需要谨慎使用。我曾在某次授权测试中，通过合理报告这些漏洞帮助企业避免了重大损失。记住，技术本身无罪，关键在于使用者的意图和授权。