代码编织梦想

  • 写在前面

       最近在学习CTF web相关知识,顺带学习php,在攻防世界平台上做做题。遇到了一道名为easyphp的题目,对我这个新手一点也不easy,于是决定把过程记录下来。   

      参考了官网上shuita111师傅的WP,这里主要写得更加完整详细一些。

  • 正文部分

       首先看代码,大概能够看出需要咱们传入的a、b、c满足中间那些条件,然后可以获得key1和key2,最后得到flag。

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...åæ³æ³");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

?> Emmm...
  • 第一个if块(解决a和b)

条件1:这里对提交的a需要满足a非空 且 a的数值大于该数 且 a的长度不超过3。

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)


分析思路:intval函数就是将我们输入的字符串类型转化成整数,这里可以查看php intval函数的用法(根据菜鸟教程intval(‘1e5’)输出的是1,但我测试了下实际输出和php版本有关,另外在官网找到一个相同的Notes httpfs://www.php.net/manual/en/function.intval也是一个例子。在题目中例如intval(‘1e5’)就是10000。因此,科学计数法表示的1e7/8/9可以满足上述三个条件。

条件2:这里对提交的b需要满足b非空,并且b的md5值的倒数6位为8b184b。

if(isset($b) && '8b184b' === substr(md5($b),-6,6))

 这个没什么妙招,只能写个脚本进行爆破了,最后发现md5(53724)符合条件。

  • 第二个if块(解决c)

        变量c也需要我们get上去,但是需要json格式。在确定了之后进行json编码即可。

条件1:c非空 且 不是数值类型(前面有个感叹号) 且 c的m键值要大于2022。

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)

分析思路:这里主要考察is_numeric函数的用法,is_numeric在php中判断参数是否是数值类型是否是数字或数字字符串。注意is_numeric("a123")返回false,is_numeric("123a")也返回false;单看这里还不能下结论。

再看后面,c的m键值后面还要做比较,因此不能直接简单构造一个is_numreric为false的字符串。例如,'123a'和一个整数作比较时,它会转换成123;'a123'和整数作比较时,由于第一个位置是a,非整数,php则规定其值为0,即变成了0和123比较(关于这个部分可以参考 php中字符串和整数比较 相关知识)。于是可以构造出一个c:{"m":"12345a"}等等。

条件2:c还有个n键,其值是一个array类型,大小为2,并且第一个元素是一个数组类型。即类似于:[[*,*...],*]。

if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");

分析思路:后面语句查找n键中是否有字符串'DGGJ',如果找到指定的键值,则返回对应的键名,否则返回 FALSE。看到这里,?:运算符找不到的情况下直接die(退出),因此这里应该让它找到,故n键第二个值为'DGGJ'。

但是,后面foreach遍历时候有'DGGJ'反而直接die,看到这里,发现这两个是矛盾的。

这个问题想了半天,最后终于明白了。回到array_search函数,查找是否有,那不就是比较吗!而且前文说到将一个字符串和一整数比较时会将字符串向整数转化,这个'DGGJ'一点整数的影子都找不到,因此只能判断为0。由此可知,第一种思路直接在c的第二个位置填上字符串'DGGJ'比较成功,第二种思路填一个数字0比较成功。第一种思路前面已经pass,因此选择第二种思路。

最后根据json编码格式对c进行编码即可。

到此为止,就已经执行完了key1和key2的赋值语句,顺着下去直接可以得到flag。

最终构造的payload:http://ip:port/?a=1e9&b=53724&c={"m":"12345a","n":[[0,1,2],0]}

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46906325/article/details/127154789

easyCpp 攻防世界-爱代码爱编程

工具 IDA+STL知识 思路展开 复杂语句,大量的C++ STL语句,vector容器等相关概念。 动态调试 整体梳理一遍逻辑: 16个整型输入 生成16个斐波那契数(这里和上面的16 个输入对应起来) 输入经过transform和accumulate两个函数运算出结果 运算出的结果与斐波那契前16 个比较,不相等则错误。 斐波那契前16 个数

UNCTF2020web方向部分题解-爱代码爱编程

文章目录 Web方向easy_ssrfeasyflask俄罗斯方块人大战奥特曼easyunserializebabyevalezphpeasy_uploadUN's_online_toolsezfind其他的题目的一些思路:checkin-sql:easyphp: Web方向 easy_ssrf php遇到不认识的协议就会当目录处理?url

攻防世界——web新手区(全解)-爱代码爱编程

当前网络安全形式越来越严重,我国也越来越重视,现在国内乃至国际上各个网络攻防大赛层出不穷,但是练习平台却还是很稀缺,可以说目前网上能够练习的平台也就只有几家,大多数的院校它们有自己的练习平台但并不公开! 今天小白介绍的是业内很有名气的练习平台——攻防世界,它里面有web、pwn、music、reverse、crypto和mobile六个大类,因为小白主要做

攻防世界 easy_serialize_php-爱代码爱编程

上来直接给源码 直接在代码中加入自己的理解 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); //implode()函数:把数组元素组合为字符串: $fi

攻防世界逆向高手题之easyCpp-爱代码爱编程

攻防世界逆向高手题之easyCpp 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的easyCpp . . 下载附件,解压缩包,照例扔入exeinfope中查看信息: . . 64位ELF文件,无壳,照例运行一下程序,看看主要回显信息: . . 一开始啥也没有,就一直乱输入,然后弹出个you failed字符串,信息够了。照例扔入IDA64中查看

攻防世界 WEB easy_laravel-爱代码爱编程

这题我一开始是在攻防世界做的,但是不知道今天靶场又抽什么风了。。。。反正两个靶场配置有点不一样,但是出入不是很大,BUUCTF需要提前手动利用管理员邮箱reset_password一下,攻防世界不需要 打开场景,审计页面源码,发现源码地址直接给出来了,非常的简单粗暴啊 https://github.com/qazxcv123/easy_laravel 建议

攻防世界之simple_php(web简单)_0。0;的博客-爱代码爱编程

题目:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码 打开后看到几行php代码: <?php show_source(__FILE__); //高亮显示代码 include("config.php"); //引用config.php, $a=@$_GET['a']; //传值a,发生错误时不显示 $b=@$

dest0g3 520迎新赛-web-easyphp_pakho_c的博客-爱代码爱编程

<?php highlight_file(__FILE__); include "fl4g.php"; $dest0g3 = $_POST['ctf']; $time = date("H"); $timme = date("d"); $timmme = date("i"); if(($time > "24") or ($timme > "

攻防世界--easy_web_jjj34的博客-爱代码爱编程

目录  补充SSTI利用到的函数及payload 1.拿到题目后,进行目录扫描,可惜没扫出来有用的东西 2.有一个输入框,随便输一个参数并且通过bp抓包查看 两个注意点: 1.Python/3.7.12 看到python写的,就想到了SSTI模板注入 确定了服务器会将我们输入的参数当作html语言解析。   2.看返回的字段,应

攻防世界ctf web easyphp题解wp_中原第一高手的博客-爱代码爱编程

第一步,用科学计数法绕过 a=1e9 if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)#$a=1e9 第二步,用php代码编写MD5碰撞脚本得到b=53724 for($i = 1;$i <= 100000;$i++){ if('

攻防世界 web simple_php-爱代码爱编程

打开题目,是一段php代码。 进行代码审计,发现,该程序以get方式接收a,b两个变量。而flag由两部分组成,分别受制于a,b。 对于a,当$a==0并且$a时会输出flag。对于b,当is_numeric($b) 不成立且b>1234使输出。 虽然看似不太可能,但php中用==进行判断(又叫弱类型比较)时会自动进行类型转换,而产生很多问题。

【dest0g3 520迎新赛】web部分writeup_unzip phar-爱代码爱编程

1NDEX 0x00 前言0x01 简练wpPhpdestEasyphpSimplerceEasysstiPharpopFunny_uploadMiddleNodesoeasyEZIP(赛后)

buuctf[web][p6][[羊城杯 2020]easyphp2]_ezphp2 ctf-爱代码爱编程

第1步,开局: http://url/?file=GWHT.php 第2步:使用dirsearch-master扫描网站:得robots.txt 内容为: Disallow: /?file=check.php 看样子是文件包含: 第3步,编码访问得源码[ GWHT.php check.php index.php ] ,index.php无法

[ctfshow 单身杯]web writeup&&学习一下sed awk基本用法_ctfshow单身杯easyphp-爱代码爱编程

1NDEX 0x00 前言0x01 brain.mdWeb签到easyphp函数说明escapeshellcmdescapeshellarg sedawk 姻缘测试blog