攻防世界新手区 easyphp题解

最新推荐文章于 2024-05-26 12:51:49 发布
最新推荐文章于 2024-05-26 12:51:49 发布
阅读量299 收藏 1
点赞数 1
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75955146/article/details/133825011
版权

前言

这个题目虽然是easyphp,但对我这中小白来说,一点都不easy啊。写不好的地方,大家多包涵包涵

正文部分

进入题目,首先就看到了代码,初步看了一下,大概就是要获得key1和key2才能拿到flag,

key1和key2又要通过传参a,b,c来获得

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;
 
$a = $_GET['a'];
$b = $_GET['b'];
 
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...åæ³æ³");
        }
    }else{
    die("Emmm...");
}
 
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}
 
if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}
 
?> Emmm...

 先看第一部分

看不懂,只能一个一个的查了


$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}
第一句if语句

intval():函数用于获取变量的整形值

isset():用来检测变量是否已设置并且为NULL

&&:逻辑与运算符,只有当两个操作数都为真是才计算为真,如果任何一个数为假,他的计算结果都为假

strlen():用来获取字符串长度,成功则返回字符串string长度;如果string为空。则返回0

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){

这句代码的意思就是:变量a不能为空和整形变量要大于6000000,而且的字符长度小于等于3

首先想到的就是用科学计数法,写了一个简单的代码试了一下

防线当a=6e6是刚好等于6000000,所以a的值可以是1e7/8/9

第二句if语句

=== :PHP中的强等于,类型和大小都要相等

md5()函数:我的理解是将字符串转换成md5

substr(md5($b),-6,6):从md5($b)后6位开始,截取6个字符串

if(isset($b) && '8b184b' === substr(md5($b),-6,6)){

这句代码的意思是:变量的b的值不能为空,而且b的MD5值的后六位必须等于8b184b

我也是看了其他博主的方法,才找到b的值的。使用python进行爆破

运行结果为:53724

代码解读:

1.python采用hashlib这个标准库实现MD5加密解密。
2.i.encode(encoding='UTF-8')处,i要为字符串,因此要先转换整数i为字符串,并且将其转化为UTF-8编码形式。
3.hexdigest()该方法是将hash中的数据转换成数据,其中只包含十六进制的数字。

所以a=6e7&b=53724

在看第二部分

这一部分自己查都没查懂,最后只能看了其他大佬的解析才明白一点

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

count() :函数返回数组中元素的数目。

array()函数:用于创建数组

json_decode()函数:用于将json对象解码或转换为PHP对象

语法:mixed json_decode ($json_string [,$assoc = false [, $depth = 512 [, $options = 0 ]]])

$json_string:待解码的json字符串,必须是UTF-8编码数据

is_array()函数:用于检测变量是否是一个数组

is_numeric():用于检测变量是否为数字或字符串

array_search()函数:在数组中搜索某个建值,并返回对于的键名

:单个感叹号是取反的意思,也就是取当前结果的反面

@:是忽略错误提示,使错误不会显示在程序里,&是取地址,也可以说是地址引用(不确定准不准确奥)

第一句

if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){

这句话的意思是:数组c中一个m, m的值要大于2022

所以可以是:"m":"2023a"   

第二句

if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){

 这句话的意识是:变量c的值n是一个数组,并且n数组有两个值,并且c变量n值的第一个值为数组,此时我们可以找到c变量的格式:{'m':xx,'n':[[xx,xx..],xx]}

第三句

$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;

这句话的意思:要求array_search搜索n中是否有”DGGJ”,有的话才能开启下一步

第四句

foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;

这里使用foreach循环搜索n中的值是否含有"DGGJ“,又要求没有的话才会是key的值为1

绕过:所以我们必须要绕过其中一个函数,array_search函数是可以绕过的,当函数将字符串与数字进行比较时,会将字符串强制转换为整形进行比较,”DGGJ“转换为整形就是0

所以c={"m":"2023a","n":[[0,2],0]}

最终构成payload:

a=6e7&b=53724&c={"m":"2023a","n":[[0,2],0]}

总结:

这个题目做了一下午,也看很多大佬的解析教程,确实学习到了不少只是。

这是我第一次写博客,写不好,大家多包包涵包涵。

我想这也算是对自己进步的一种的记录了吧

x.joker
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[ISITDTU 2019]EasyPHP
wjd19980925的博客
06-08 822
[ISITDTU 2019]EasyPHP
攻防世界easyphp解题
XXokok的博客
12-30 715
攻防世界easyphp解题
攻防世界-easyphp
最新发布
weixin_64659753的博客
05-26 397
攻防世界-easyphp
攻防世界-web- easyphp
32bin的博客
10-30 1214
最近在学习CTF web相关知识,顺带学习php,在攻防世界平台上做做题。遇到了一道名为easyphp的题目,对我这个新手一点也不easy,于是决定把过程记录下来。版权声明:本文为CSDN博主「weixin_46906325」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/weixin_46906325/article/details/127154789。#攻防世界-web- easyphp。依次构造a、b、c的值!
攻防世界web新手easyphp题解writeup
weixin_46906325的博客
10-03 7206
攻防世界web新手easyphp题解
easyphp攻防世界详细题解
m0_74312676的博客
10-29 365
这array_search()在查找元素的时候是进行弱类型比较,而在PHP里字符串==0是成立的,即“DGGJ"==0是成立的,因此,要保证在c["n"]中有0,即可绕过array_search的判断。如果没有找到,则输出"no..."并终止执行。这是上述if条件的else部分,如果上述所有的条件检查都没有通过,那么会执行这里的代码,输出"no hack"并终止执行。这行代码的作用是在"n"键的数组中搜索"DGGJ"这个值,并返回其索引位置。的检查没有通过,那么会执行这里的代码,输出"no"并终止执行。
[GYCTF2020]Easyphp
shinygod的博客
04-06 1300
知识点:反序列化字符串逃逸,pop链构造 反序列化字符串逃逸 此知识点可以结合题目来看。 https://blog.csdn.net/shinygod/article/details/123724105 分析 /www.zip拿源码 在update.php中可以拿到flag,条件$_SESSION['login']===1在lib.php中 <?php require_once('lib.php'); if ($_SESSION['login']!=1){ echo "你还没有登陆呢!"; } $
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP5-3-14
07-22
资源名称:EasyPHP5-3-14工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
EasyPHP5-2-17.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
EasyPHP5-2-17
07-22
资源名称:EasyPHP5-2-17工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
PHP开发环境 EasyPHP v5.4.6
11-08
Apache是世界上最流行的Web服务器软件,其稳定性和高效性得到了广泛认可。在EasyPHP中,Apache被配置为与PHP紧密协作,支持PHP脚本的运行。开发者可以通过修改httpd.conf配置文件来定制服务器行为,例如设置虚拟主机...
WEB:easyphp
sleepywin的博客
07-25 496
array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用。array_search保证非0下标元素含0就行,字符串转数字都是0。,0 == 'DGGJ'又0===='DGGJ'为false。绕过is_array和array_search函数。可以使用%00绕过is_numeric函数。编写MD5碰撞脚本得到b=53724。可用科学计数法绕过 a=1e9。要绕过is_numeric函数。或构造payload。
攻防世界easyphp
RexHa的博客
02-01 4232
攻防世界 easyphp
ctfshow php特性
m0_63253040的博客
08-01 322
有个正则匹配0-9数字,,输出flag的条件是要变量num为整数,直接用数组绕过就行了。
攻防世界--easyphp
qq_51802152的博客
12-17 831
攻防世界--easyphp
攻防世界--simple php,easy php
m0_67467924的博客
04-20 920
第一个if判断语句,使用isset判断变量a是否申明,使用intval获取变量的整数值,并判断其值大于6000000,使用strlen函数判断变量a的长度,且长度小于等于3.若三个同时满足,那么进行二次判断,若变量b也有声明,同时他的值在使用md5加密后使用substr函数获取加密后的6位,且这6位的值为8b84b,如果满足就给key变量赋值为1;最后我们来绕过c,首先c是一个数组,且数组中存在m键,因为m不能为数值型,但又要大于2022,于是我们选择构造5555ab这个字符来绕过。进入环境,代码审计,
攻防世界-easyphp 思路分析
weixin_73560599的博客
09-26 251
c["n"]获取数组变量中键名为"n"的元素的值 每次循环中,将当前元素的键名赋值给key变量,将当前元素的值赋值给val变量。array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用0和DGGJ进行弱比较。这里用array_search函数的一个漏洞 待匹配的模式串里有0时会与字符串进行比较时,字符串也会转变为0,这样就算不出现DGGJ也可以返回1。跑出结果为53724 所以这里的b的值就为53724。
[CTFSHOW]PHP特性
Huamang的博客
03-19 1747
web 89 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 利用数组绕过:/?num[]=0 web 90 include
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值