Как можно обойти проверку пароля?

Question

[ReD]

Есть такой код с лазейкой (вроде как), для получения значения поля пароля из формы:

<?php
require 'flag.php';

if (isset ($_GET['password'])) {
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
		echo '<p class="alert">You password must be alphanumeric</p>';
	else if (strpos ($_GET['password'], '--') !== FALSE)
		die('Flag: ' . $flag);
	else
		echo '<p class="alert">Wrong passsword</p>';
}
?>

Есть ли способ как-то "обмануть" фильтрацию вводимых символов и получить значение переменной $flag?

Answer 1

[index0h]

$_GET['password'] = [''];

Comments

[ReD]

Если я правильно понял, так это если отредактировать код. А как обойти фильтрацию при неизменных исходных условиях? Только через передаваемые параметры?

[index0h]

Нет, вы поняли не правильно. GET параметр может быть массивом

[ReD]

А как тогда передать массив через форму?

[index0h]

зачем нужна форма?
http://example.com/?password[]=1

[anonlatte1]

У него нет доступа к изменению кода на сервере. То, что написали вы, будет ему бесполезно. Нужно лишь изменить запрос

Answer 2

[anonlatte1]

Используй уязвимость, связанную с нулевым байтом
В конце строки добавь %00. Всё, что находится после этих символов, не будет регулярным читаться, но будет возможность вставить нужные символы, подходящие под условие получения флага
Решение таска example.com/?password=pass%00--

Comments

[synapse_people]

будет считатся, там же ^$ в регулярке

[anonlatte1]

synapse_people, посмотри про уязвимость нулевого байта
Это задание с ctf, которое я решил, поэтому сам затести регулярку эту, передав в значение пароля какой-то текст%00--
Суть в том, что он удовлетворяет первому условию, ибо пропускает некорректный ввод благодаря этой инъекции, и в тоже время удовлетворяет наличию двух тире в пароле
Профит

[synapse_people]

anonlatte,var_dump(ereg ("^[a-zA-Z0-9]+$", "--\0x00"));
FALSE
что не так?

[anonlatte1]

synapse_people, ты понимаешь, что этот php файл не редактируется? Тебе нужно запрос в ссылке редактировать, а исходник этот изменить ты не сможешь, ибо он на сервере находится, доступ к которому у тебя закрыт. Там просто выдаётся ссылка на исходный код и ничего более

[synapse_people]

synapse_people, а ты понимаешь, что нулевой байт не пройдет проверку в этой регулярке?

[anonlatte1]

А ты сам не хочешь попробовать? Кидаю тебе таск и попробуй написать то, что сказал я, а потом закрой рот

regexp_pass.training.hackerdom.ru

regexp_pass.training.hackerdom.ru/?password=Hui
regexp_pass.training.hackerdom.ru/?password=Hui%00--

[synapse_people]

anonlatte, это проблема только ЭТОГО ГОВНО КОДА
К РЕГУЛЯРКАМ ОТНОШЕНИЯ НЕ ИМЕЕТ
var_dump(ereg("^test$", "test\0"));
var_dump(preg_match("/^test$/", "test\0"));
0
В любом случае КОД ГОВНО, ereg УСТАРЕЛ давно,удален.. в новых версиях пхп вообще убрали нулевые байты в регулярках.. так что, эта "уязвимость" скорее из прошлого века или че вообще такое

[anonlatte1]

synapse_people, а может просто у тебя знаний недостаточно, чтобы понять, что уязвимость нарочно оставлена? Это не говнокод, а часть задания организаторов. Погуглив эти функции можно узнать, почему не стоит их использовать

[ReD]

Как всегда, в споре находится истина!

[ReD]

Ну и такой вариант
http://regexp_pass.training.hackerdom.ru/?password[]=1
также срабатывает.

[anonlatte1]

ReD, хм, действительно
Ещё один вариант решения

[ReD]

С alnum.training.hackerdom.ru
совсем просто:
alnum.training.hackerdom.ru/?name=1&password=1

[synapse_people]

ReD, в случае массива как-раз все понятно, произойдет каст в строку "Array"...но почему strpos не FALSE?

Answer 3

[asd111]

Нет.