弱类型比较得问题
<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;
$a = $_GET['a'];
$b = $_GET['b'];
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
$key1 = 1;
}else{
die("Emmm...再想想");
}
}else{
die("Emmm...");
}
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
}else{
die("no hack");
}
}else{
die("no");
}
if($key1 && $key2){
include "Hgfks.php";
echo "You're right"."\n";
echo $flag;
}
?>
首先看到最后一行,需要key1=1 and key2=1,才能够输出flag,所以我们就冲着这个目标去。
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
$key1 = 1;
}else{
die("Emmm...再想想");
}
}else{
die("Emmm...");
}
第一关,判断
a
不为空,
a不为空,
a不为空,a的整数值大于600000,而且要求
a
的长度小于等于
3
,所以考虑用科学计数法来绕过长度的限制,令
a的长度小于等于3,所以考虑用科学计数法来绕过长度的限制,令
a的长度小于等于3,所以考虑用科学计数法来绕过长度的限制,令a=1e9成功绕过。
第二关,要求
b
不为空,并且要求
b不为空,并且要求
b不为空,并且要求bmd5加密后的值的后六位等于8b184b,所以我们写个python脚本,跑一个数值出来。
import hashlib
def md5(str):
m = hashlib.md5()
m.update(str.encode("utf-8"))
return m.hexdigest()
for i in range(0,60000):
m = str(i)
k = md5(m)[-6:]
print(k)
if k =='8b184b':
print(i)
break
跑得的数值为53724,所以我们令$b=53724成功的绕过第二关。
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
}else{
die("no hack");
}
}else{
die("no");
}
第三关,传入一个$c进行json_decode,判断是不是数组,要求数组中m的值不能是数字,又要求m的值大于2022,php的弱类型比较,我们就用2023c进行绕过。
第四关,要求数组中n的值是一个数组,并且数量为2,并且要求数组n的第一个数,也是个数组,所以我们,就用c={“m”:“2023c”,“n”:[[],1]}来进行绕过。
第五关,
$d = array_search(“DGGJ”, $c[“n”]);
$d === false?die(“no…”):NULL;
这个代码,去n里面寻找“DGGJ”,如果找到,就返回它所在的键值,如果找不到,就是flase,寻找的时候,是松散比较,也就是==,已知,字母开头的字符串==0,所以 “DGGJ” ==0 ,所以,n里面要有0
一 foreach的语法介绍
PHP 4以上的版本包括了 foreach 结构,这只是一种遍历数组简便方法。foreach 仅能用于数组,当试图将其用于其它数据类型或者一个未初始化的变量时会产生错误。有两种语法,第二种是第一种的有用的扩展。
foreach(array_expression as $value) statement
foreach(array_expression as $key => $value) statement
第一种格式遍历给定的 array_expression 数组。每次循环中,当前单元的值被赋给 $value 并且数组内部的指针向前移一步(因此下一次循环中将会得到下一个单元)。
第二种格式做同样的事,只是除了当前单元的值以外,键值也会在每次循环中被赋给变量 $key。看下面代码:
$arr = array("1"=>"111","2"=>"222","3"=>"333");
foreach($arr as $key=>$value)
{
echo $key."=>".$value." ";
}
结果如下:
1=>111
2=>222
3=>333
键值这里可以理解为数组下标,数组元素a[2]的下标就是2.
所以最终的payload=http://61.147.171.105:65244/?a=1e9&b=53724&c={"m":"2023c","n":[[],0]}
1524
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
