目录
WEB1
ctf.show 萌新模块的web1关, 这一关考察的是intval()函数转换字符串时的特性以及SQL的拼接绕过
这一关直接就给了源码, 并提示我们 id = 1000 时, 就是flag
先分析一下源码, 首先是 intval()函数将参数id转换为数值型, id > 999直接die()结束程序, 也就是说我们传递的id不能大于 999, 明知道1000就是flag, 但不能直接传1000, 否则程序会直接die()结束, 传递的id 即不能大于999, 又需要查询 1000的值 , 这里我们可以通过 or( 逻辑或)来同时传递两个id, 一个id用于绕过intval($id) > 999 的验证, 另一个id 用来返回1000的查询结果, 也就是flag
?id=2 or id=1000
这里需要解释一下intval()函数的一些特性
intval()函数用来获取变量的整数值, 使用的时候常见的有两种情况
1. 转换整数时,返回整数本身
2. 转换字符串时, 会从字符串的开始进行转换,直到遇到一个非数字的字符,如果字符串的第一个字符不是整数,则返回0
当我们传递 id = 2 or id = 1000 时, 后台的执行结果会是下面这样
传递的参数 id = 2 or id = 1000 被当做一个字符串 ' 2 or id = 1000' , intval()函数会从字符串的开始进行转换, 直到遇到非数字的字符, 转换到or的时候, 由于or不是数字类型的字符, 从而停止转换, 转换的结果就只有 2
传递的参数 id = 2 or id = 1000 被intval()函数转换成2以后, 参与if条件判断自然不会大于999, 从而绕过了intval()的校验
绕过intval()函数的校验以后自然就会执行后边的SQL语句, 我们先来查看id的具体返回结果
id = 1 的时候, 返回了id为1的信息
而当id = 2 的时候, 信息是空显示 , 也就是说数据库里没有id为2的信息
当我们输入的参数 id = 2 or id = 1000 参与SQL的执行时, 会变成下面这样
select * from article where id = 2 or id = 1000 order by id limit 1
SQL会同时查询2 和 1000 这两个id的信息, 刚才我们试过, id为2时, 没有信息, 那这条SQL查询的结果就只有 id = 1000 的信息, 从而返回flag
WEB2
过滤了or和+
payload:?id=1 || id=1000 --+
或者 ?id=1 union select * from article --+
WEB3
?id=1 union select * from article --+不再可用 因为*被过滤了
这里利用一个intval的特性,
我们在传入参数的时候实际上是会以""扩起来的
传入1000时
intval得到的还是1000
而传入’1000’intval得到的是0
但是变量输出仍是1000
故可以构造?id='1000'
WEB4同3
WEB5
过滤了单引号
前面的方法失效,考虑取反
~~1000
数值范围检查:代码通过intval($id) > 999
来检查id
的值是否大于999。然而,~~
是JavaScript和某些其他编程语言中常用的“双按位非”操作,用于将操作数转换为数字(在JavaScript中)。在PHP中,~~
并不是内置的操作符,但PHP的intval()
函数会在转换时忽略非数字字符。因此,当id
被设置为~~1000
时,intval($id)
实际上会尝试将~~1000
作为字符串转换为其整数值,但由于~~
在PHP中没有特殊含义,所以整个字符串~~1000
会被视为0
(因为字符串开始的非数字字符会导致intval
返回0)。因此,这个检查会失败,因为intval("~~1000")
等于0
,并不大于999
。
WEB6同5
WEB7
id=0b1111101000利用二进制绕过
intval()函数在转换字符串时,如果被转换的变量是字符串类型,则会从第一个字符开始转换,直到遇到非整数的字符才会停止
后端使用get请求获取我们输入的参数,返回的变量是字符串类型 ‘0b1111101000’
被intval()函数转换后的结果是 0
if()判断的实际条件是 0 > 999, 返回false,从而进入else中执行SQL语句
这个 0b1111101000 是1000的二进制,数据库在执行SQL时,会将0b开头的数据当成二进制来执行,从而查询 id=1000 时的信息,拿到我们的flag