BugKCTF代码审计详解：变量覆盖、strcmp比较与URL解码漏洞

"bugkctf 代码审计" 在CTF（Capture The Flag）竞赛中，代码审计是获取flag（比赛目标）的关键技能之一。这篇笔记主要涉及了三个常见的安全漏洞和对应的攻击方法，包括`extract`变量覆盖、`strcmp`比较错误以及`urldecode`的二次编码绕过。 ### extract变量覆盖 `extract()`函数在PHP中用于将数组中的键转化为变量，并将对应的值赋给这些变量。在提供的代码示例中，`$flag`变量被设置为`'xxx'`，然后`extract($_GET)`将GET请求中的参数提取到当前作用域。如果GET请求中存在`shiyan`和`flag`这两个参数，`$flag`的值会被GET请求中的`flag`参数覆盖。因此，通过构造`?shiyan=&flag=`的请求，我们可以用空字符串覆盖原来的`$flag`值，从而可能绕过原本的条件检查。 ### strcmp比较错误 `strcmp()`函数用于比较两个字符串，如果它们相等，则返回0。在给出的代码中，`$flag`包含了flag信息，程序期望`$_GET['a']`与`$flag`相等才能显示flag。然而，如果`$_GET['a']`不是一个字符串，例如一个数组，`strcmp()`会抛出错误并返回0。这意味着我们可以构造如`?a[]=1`的请求，使得`strcmp()`误判，从而绕过安全检查。 ### urldecode二次编码绕过 此部分涉及URL编码的安全问题。代码首先检查GET参数`id`是否包含`hackerDJ`，如果包含则拒绝访问。然后，它对`id`进行URL解码，期望解码后的值为`hackerDJ`。由于浏览器在发送请求时会自动解码URL，我们可以利用这一点，将`hackerDJ`进行两次URL编码（ `%25` 是 `%` 的编码， `%36` 是 `6` 的编码，以此类推），然后发送请求`?id=%25%36%38%25%36%31%25%36%33%25%36%62%25%36%35%25%37%32%25%34%34%25%`。当浏览器发送请求时，第一次解码会得到 `%68ackerDJ`，然后服务器上的`urldecode()`再将其解码为原始的`hackerDJ`，从而绕过检查。 这些技巧在CTF比赛中常常用来寻找和利用代码漏洞，获取隐藏的flag。了解和掌握这些常见漏洞及其利用方法对于提升网络安全技能和参加CTF比赛至关重要。在实际编程中，应避免使用可能引发此类问题的不安全函数，并确保对用户输入进行严格的验证和过滤，以防止潜在的安全风险。