flag{1ae253df-6d1e-439e-956f-7c4568b456b2}
0x01题目
0x02解题
首先查看整个页面,没什么地方可以注入东西,点击右上角menu,发现有一个payflag,点击后跳转到新页面,这个页面给了一些提示,要想得到flag首先需要证明你的身份,有正确的密码后,才能花费100000000购买flag,从证明身份这里,考虑到抓包修改cookie值
2.通过Burpsuite进行抓包,把cookie值修改为user=1(这里可以用intruder模块进行爆破,不过试一试也能试出来),得到提示需要我们输入密码,但是并不知道任何有关密码的信息,查看源代码
3.查看源代码,发现在源代码最后有提示,通过post请求发送password,password为404,但是输入时不能为数字,考虑绕过,这里有几种方式可以绕过
(1)转换进制
将数字转换为十六进制,这里404转换为十六进制为0x194
(2)空字符%00和空格字符%20
is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。
空字符
空格字符%20
4.password绕过后,又得到提示得花钱,根据前面的提示money=100000000,重新构造
5.得到提示,数字长度过长,应该是限制了数字长度,这里也有几种绕过方法
(1)用科学计数法表示
(2)用函数strcmp(),使用数组绕过(php5.3以上可以,php7不能)
0x03总结
PHP函数
isset()函数用于检测变量是否已设置并且非 NULL。
如果已经使用 unset() 释放了一个变量之后,再通过 isset() 判断将返回 FALSE。‘
如果一次传入多个参数,那么 isset() 只有在全部参数都被设置时返回 TRUE,计算过程从左至右,中途遇到没有设置的变量时就会立即停止。
bool isset ( mixed $var [, mixed $... ] )
is_numeric() 函数用于检测变量是否为数字或数字字符串
bool is_numeric ( mixed $var )
strcmp() 函数比较两个字符串。
strcmp() 函数是二进制安全的,且区分大小写。该函数与 strncmp() 函数类似,不同的是,通过 strncmp() 您可以指定每个字符串用于比较的字符数。
strcmp(string1,string2)
参考博客
https://blog.csdn.net/qq_45925514/article/details/124853227
php弱语言特性-计算科学计数法
https://www.cnblogs.com/-chenxs/p/1165305
一文了解PHP的各类漏洞和绕过姿势
https://cloud.tencent.com/developer/article/2127498
php 中的strcmp函数
3496
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
