ctfshow-web入门-php特性(web89-web95)intval 函数绕过

于 2024-07-12 11:47:12 发布
阅读量802 收藏 25
点赞数 16
分类专栏: web ctfshow PHP 文章标签: php 开发语言 前端 安全 网络安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/140369415
版权
web 同时被 3 个专栏收录
166 篇文章 20 订阅
订阅专栏
ctfshow
67 篇文章 1 订阅
订阅专栏
PHP
56 篇文章 1 订阅
订阅专栏

目录

1、web89

2、web90

3、web91

4、web92

5、web93

6、web94

7、web95

1、web89

简单审一下代码:

过滤了数字,intval() 函数用于获取变量的整数值,第三个 if 里面只要不为 0 就会输出 flag。

payload:使用数组绕过

?num[]=1

flag:ctfshow{7c8be7ff-9938-4d76-82a3-421fd6fad411} 

intval() 不能用于 object 和 array,否则会产生 E_NOTICE 错误并返回 1,intval() 传入非空数组就会返回 1,而 preg_math() 只能处理字符串,当传入的是数组时会直接返回 0。

2、web90

代码审计:

如果 num 的值严格等于“4476”,则输出“no no no!”并终止执行;

如果 num 转换为整数并以  0 作为基数进行转换后等于 4476,则输出 $flag 的值。

这里的绕过方法很多,对于 intval() 函数,如果 base(转换基数) 是 0,通过检测 var 的格式来决

定使用的进制:

如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);

如果字符串以 "0" 开始,使用 8 进制(octal);

否则,将使用 10 进制 (decimal)。

(1)使用十六进制格式

?num=0x117c

(2)使用八进制

?num=010574

由于: 

因此我们还可以使用: 

 (3)使用小数绕过

?num=4476.1

(4)使用字母绕过

?num=4476a

此外,还可以: 

(5)使用科学计数法绕过

?num=4476e0

其中 e0 表示 10 的 0 次方,也就等于 1 

(6)使用正负号绕过

?num=+4476

3、web91

代码审计: 

使用正则表达式匹配 $a 是否等于字符串“php”,并且不区分大小写(i标志)和多行模式(m标志),^ 表示字符串的开头,$ 表示字符串的结尾。 如果第一次匹配成功,再次使用正则表达式匹配 $a 是否等于字符串“php”,但这次只有不区分大小写,是单行模式,不会匹配多行,如果第二次没有匹配成功就会输出 flag。

采用换行符 %0a 绕过,payload:

?cmd=%0aphp

第一次多行匹配会匹配每一行的开头和结尾,就会匹配成功,第二次因为 ^ 和 $ 仅匹配整个字符串的开头和结尾,就不符合正则表达式的以 php 开头以 php 结尾了。

拿到 flag:ctfshow{ae8546f0-fcba-4bb8-8a86-0da480e4bfc8}

4、web92

php 中有两种比较的符号: == 与 ===

=== 是严格相等运算符,在进行比较时,会先判断两种字符串的类型是否相等,再比较;

== 是相等运算符,在进行比较时,会先将字符串类型转化成相同,再比较,比如比较一个数字和字符串或者比较涉及到数字内容的字符串,字符串会被转换成数值并按照数值来进行比较。

对于 intval('4476e1', 0) 指定基数为 0,PHP 将字符串 '4476e1' 视为十进制,在十进制中,'4476e1' 被解析为 4476,而 e1 部分被忽略掉了;

而对于 intval('4476e1') ,未指定基数,php 考虑了科学计数法。

web90 是强比较,这里是弱比较,部分 payload 还是能继续用的:

比如使用十六进制绕过

?num=0x117c

ctfshow{e5494299-4be1-4119-bd16-e6b5be15b567}

还可以使用:

?num=4476e1

5、web93

在上一题的基础上新增过滤字母

使用小数绕过:

?num=4476.1

也可以使用八进制:

?num=010574

拿到 flag:ctfshow{07e550dd-6213-405a-8239-e4e0f582d468}

6、web94

新增 strpos 函数:查找字符串在另一字符串中第一次出现的位置(区分大小写)。

语法:strpos(string,find,start)

参数描述
string必需。规定被搜索的字符串。
find

必需。规定要查找的字符。

start可选。规定开始搜索的位置。

返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。 

也就是说,如果 num 中不包含数字 "0" 就会终止程序,但是还有一种情况,如果这个 0 出现在开头,虽然是找到了有 0 这个字符,但是返回位置为 0 ,if (!0),die 函数也会触发。

可以使用小数绕过,payload :

?num=4476.0

拿到 flag:ctfshow{5b94f7ae-6be1-443d-836a-e599f809eb7d}

7、web95

新增过滤了点,因此不能再使用小数绕过了,并且第一次的比较变成了弱比较。

那么这里使用八进制绕过,但是要确保开头不能为 0,可以在开头添加空格或者使用加号绕过:

?num= 010574

?num=+010574

拿到 flag:ctfshow{eedab91e-e2b0-44f6-aab5-1b7bfa6c5ffb}

Myon⁶
关注
  • 16
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php intval函数用法总结
10-17
`intval()` 是 PHP 中的一个内置函数,用于将变量或字符串转换为整数。这个函数非常实用,尤其是在处理用户输入或从非整数源获取数据时。以下是对 `intval()` 函数的详细说明和使用示例。 ### 1. `intval()` 函数的...
valval:最快的V语言Web框架(vlang)
02-03
Valval是V语言中最快的Web框架。 这意味着您可以快速开发一个网站,甚至可以更快地运行它! 一个简单的演示: import valval fn hello (req valval.Request) valval.Response { return valval. response_ok ( ' ...
intval()函数绕过
krafcc的博客
11-02 526
但在传参时一般使用第一种形式,经过测试发现,传参默认都是字符串类型,根据intval的字符串转换规则,如果字符串第一个字符不是数字就会直接返回0,所以后面两种形式都是返回0,只有第一种可以正确返回数字1。方式表示科学计数法时,函数的返回值是科学计数法前面的一个数,而对于科学计数法加数字则会返回科学计数法的数值。intval() 转换数组类型时,不关心数组中的内容,只判断数组中有没有元素,有为1无为0。当 base 为空时,默认值是 0,会根据 $var 的格式来调整转换的进制。根据黑名单的不同,访问?
绕过intval( )
东隅的博客
01-19 3045
绕过方法有很多,比如: ?id='1000' //"1000"或(1000)皆可 ?id=125<<3 //左移 ?id=680|320 //按位或 ?id=992^8 //按位异或 ?id=~~1000 //两次取反 ?id=0x3e8 //十六进制 ?id=0b1111101000 //二进制 这里讲一下?id='1000'(ps: ?id=1000就是不行的) intval('1000')>999的结果确实是True, 但是别忘了还有一个GET提交过程,问题出在这里,原理大概
Web 攻防:PHP特性漏洞 - intval 比较绕过
最新发布
weixin_43320796的博客
06-03 240
intval() 函数可以获取变量的「整数值」。常用于强制类型转换。
PHP intval()函数详解,intval()函数漏洞原理及绕过思路
热门推荐
wangyuxiang946的博客
06-17 2万+
intval() 函数可以获取变量的「整数值」。常用于强制类型转换。 进制自动转换 转换数组 转换小数 转换字符串 取反~ 算数运算符 浮点数精度缺失问题 intval()绕过思路
基于intval()函数特性的漏洞绕过
rev1ve的博客
08-18 624
最近在做ctf.show的时候碰到intval()函数,结合特性绕过
WEB攻防基础|PHP|过滤函数intval()绕过原理及方法
m0_73615178的博客
12-19 1596
intval()函数绕过方法思路总结: 一、进制类型转换: 二、弱比较(a==b),可以给a、b两个参数传入数组,使弱比较为true: 三、增加小数位: 四、转换字符串: 五、取反: 六、运用算数运算符:
使用S7-1500的Web服务器通过本地的HTML读写PLC中的数据_示例.docx
10-05
首先,启用S7-1500的Web服务器功能至关重要。在博途(TIA Portal)软件中,你需要确保PLC项目配置中Web服务器选项已开启,并且勾选“通过HTTPS访问”。HTTPS协议提供了一层加密,保障了数据传输的安全性,这对于涉及...
PHP 类型转换函数intval
01-20
intval (PHP 4, PHP 5) intval — Get the integer value of a variable Description int intval ( mixed $var [, int $base= 10 ] ) Returns the integer value of var , using the specified base for the ...
php intval绕过,PHP intval函数安全应用技巧
weixin_39813200的博客
03-22 1682
我们学习一、PHP intval函数描述intval函数有个特性:"直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时()结束转换",在某些应用程序里由于对intval函数这个特性认识不够,错误的使用导致绕过一些安全判断导致安全漏洞.二、PHP intval函数分析PHP_FUNCTION(intval){zval **num, **arg_base;int base;switch (...
intval md5绕过之[WUSTCTF2020]朴实无华
qq_58970968的博客
07-24 1117
intval函数还可以用于判断回文串,因为intval函数的最大值取决于操作系统,如果字符串的回文超过了最大的范围值,那么返回的值就也是原来的字符串,就会变成回文串,实现了绕过函数的使用方法,当函数中用字符串方式表示科学计数法时,函数的返回值是科学计数法前面的一个数,而对于科学计数法加数字则会返回科学计数法的数值。$a==md5($a)时使用科学计数0e215962017。可以使用0e开头的科学计数来绕过,使用。扫描文件发现robots.txt;==bmd值要相等;使用工具,或者数组;...
php intval()函数漏洞,is_numeric() 漏洞,绕过回文判断
weixin_30621959的博客
12-22 1824
Intval函数获取变量整数数值Intval最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例,在这样的系统上, intval(‘1000000000000’) 会返回 2147483647。64 位系统上,最大带符号的 integer 值是 9223372036854775807。 这个有个应用就是在判断数值是不是...
intval绕过和chr的利用
https://www.cnblogs.com/zpchcbd/
05-02 3745
题目 <?php error_reporting(0); $flag = 'OKOKOKOK' //老样子 自定义一个flag $value = $_GET['value']; //接受value参数 $password = $_GET['password']; //接受get参数 $username = ''; for ($i = 0; $i < count($value);...
phpintval函数
weixin_30852367的博客
06-03 479
PHP intval() 函数 PHP 可用的函数PHP 可用的函数 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 PHP 4, PHP 5, PHP 7 语法...
MD5加密相等绕过intval函数四舍五入
giun的博客
04-19 1662
一、MD5加密相等绕过 <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { echo ...
ctfshow-web90(php特性)
m0_62094846的博客
01-13 313
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:06:11 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ include("flag.php"); highlight_file(...
CTFshow php特性 web90
Kradress的博客
12-13 282
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:06:11 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ include("flag.php"); highlig
ctfshow-web95(php特性)
m0_62094846的博客
01-13 592
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:53:59 # @link: https://ctfer.com */ include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'].
ctfshow web2萌新
09-03
ctfshow萌新中的web2关卡使用了intval()函数强制将参数转换为数值型,但通过使用特殊字符和运算符,我们可以绕过过滤,控制SQL查询的结果,从而获取flag。在这个关卡中,or被过滤,但我们可以使用加号、减号、乘号、除号、或、左移等方式来绕过过滤。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [ctfshow-萌新](https://blog.csdn.net/qq_43618536/article/details/125789821)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [ctfshow-萌新-web2( 利用intval函数特性配合SQL的特殊符号获取敏感数据 )](https://blog.csdn.net/wangyuxiang946/article/details/120199951)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值