31c3 CTF 还是很人性化的，比赛结束了之后还可以玩。看题解做出了当时不会做的题目，写了一个writeup。
英文的题解可以看这里https://github.com/ctfs/write-ups/tree/master/31c3-ctf-2014/web
0x01 pCRAPp

没有人质疑php的简单强大，它提供了很多特性供开发者使用，其中一个就是弱类型机制。

在弱类型机制下 你能够执行这样的操作

PHP 在把数组序列化为 WDDX 结构的过程中，没有对数组的键名严格限制，导致可以伪造对象的 WDDX 结构。

PHP 内置了多种处理器用于存取 $_SESSION 数据时会对数据进行序列化和反序列化，常用的有以下三种，对应三种不同的处理格式：

这个估计很多同学看了不屑，认为是烂大街的东西了：

.htaccess文件构成的PHP后门

那么我来个新的吧：.user.ini。它比.htaccess用的更广，不管是nginx/apache/IIS，只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi，我的IIS php5.3以上的全部用的fastcgi/cgi，我win下的apache上也用的fcgi，可谓很广，不像.htaccess有局限性。

Drupal在所有的SQL查询语句当中都是用的预编译来处理。
为了处理IN语句，有一个expandArguments函数来展开数组。

今天我们将讨论编写基于PHP扩展库的后门。通常来说，大部分入侵者都会在脚本中留下自定义代码块后门。当然，这些东西很容易通过源代码的静态或动态分析找到。

利用PHP扩展库的好处显而易见：

看是否有文件上传操作(POST方法)，

IPREMOVED - - [01/Mar/2013:06:16:48 -0600] "POST/uploads/monthly_10_2012/view.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"
IPREMOVED - - [01/Mar/2013:06:12:58 -0600] "POST/public/style_images/master/profile/blog.php HTTP/1.1" 200 36 "-" "Mozilla/5.0"

Laravel PHP框架中的加密模块存在漏洞，攻击者能够利用该漏洞伪造session cookie来实现任意用户登录， 在某些情况下，攻击者能够伪造明文对应的密文，并以此来实行远程代码执行。

看了WordPress 3.8.2补丁分析 HMAC timing attack，眼界大开，原来还可以利用时间差来判断HMAC。
但我总觉得这个漏洞并不是简单的修复这个问题。
查看了官方提供的资料:“该漏洞是由WordPress的安全团队成员Jon Cave发现。”。

WP的开发人员也只是含糊的说这个版本修复了一个可以伪造cookie的漏洞。苦思半天翻来覆去看代码之后，甚至顺带挖出了个0day，才发现原来自己又想多了，这个洞的原理其实很简单，那就是边信道攻击。

漏洞的根源在代码注释中出现换行，导致代码执行，流程如下:

目前越来越多的人称为勒索软件的受害者，恶意软件会加密你的计算机直到你愿意交保护费，最新的趋势发现，网站已经成为犯罪分子的攻击目标，犯罪软件会加密你的数据库直到你付钱。

PHP解析multipart/form-datahttp请求的body part请求头时，重复拷贝字符串导致DOS。远程攻击者通过发送恶意构造的multipart/form-data请求，导致服务器CPU资源被耗尽，从而远程DOS服务器。
影响范围：

近日，360网站卫士安全团队近期捕获一个基于PHP实现的webshell样本，其巧妙的代码动态生成方式，猥琐的自身页面伪装手法，让我们在分析这个样本的过程中感受到相当多的乐趣。接下来就让我们一同共赏这个奇葩的Webshell吧。