flag{1ae253df-6d1e-439e-956f-7c4568b456b2}
0x01题目
![](https://img-blog.csdnimg.cn/img_convert/f73d00ce7fcc4e599c9ce24d2aae26f5.png)
0x02解题
首先查看整个页面,没什么地方可以注入东西,点击右上角menu,发现有一个payflag,点击后跳转到新页面,这个页面给了一些提示,要想得到flag首先需要证明你的身份,有正确的密码后,才能花费100000000购买flag,从证明身份这里,考虑到抓包修改cookie值
![](https://img-blog.csdnimg.cn/img_convert/e7cd5494f19eeb8511d6fac77230aa80.png)
2.通过Burpsuite进行抓包,把cookie值修改为user=1(这里可以用intruder模块进行爆破,不过试一试也能试出来),得到提示需要我们输入密码,但是并不知道任何有关密码的信息,查看源代码
![](https://img-blog.csdnimg.cn/img_convert/cf091db63acedc05cfaf7c0be299516b.png)
3.查看源代码,发现在源代码最后有提示,通过post请求发送password,password为404,但是输入时不能为数字,考虑绕过,这里有几种方式可以绕过
![](https://img-blog.csdnimg.cn/img_convert/1ff71e8e5540dc837cdcf061856447fb.png)
(1)转换进制
将数字转换为十六进制,这里404转换为十六进制为0x194
![](https://img-blog.csdnimg.cn/img_convert/cf233439b97af4cdf660e9f040aa9168.png)
(2)空字符%00和空格字符%20
is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。
空字符
![](https://img-blog.csdnimg.cn/img_convert/02a2b5727a40f299139fbadab9a71a4e.png)
空格字符%20
![](https://img-blog.csdnimg.cn/img_convert/27f6b66b5c3a08d9b7a8adfd6f4ce975.png)
4.password绕过后,又得到提示得花钱,根据前面的提示money=100000000,重新构造
![](https://img-blog.csdnimg.cn/img_convert/5295ff5db31b545e1eaf1aae42985275.png)
5.得到提示,数字长度过长,应该是限制了数字长度,这里也有几种绕过方法
(1)用科学计数法表示
![](https://img-blog.csdnimg.cn/img_convert/62698088e5f01b06a14c7e208b26b6af.png)
(2)用函数strcmp(),使用数组绕过(php5.3以上可以,php7不能)
![](https://img-blog.csdnimg.cn/img_convert/bf3452e824260eb6f1c95607e47137bc.png)
0x03总结
PHP函数
isset()函数用于检测变量是否已设置并且非 NULL。
如果已经使用 unset() 释放了一个变量之后,再通过 isset() 判断将返回 FALSE。‘
如果一次传入多个参数,那么 isset() 只有在全部参数都被设置时返回 TRUE,计算过程从左至右,中途遇到没有设置的变量时就会立即停止。
bool isset ( mixed $var [, mixed $... ] )
is_numeric() 函数用于检测变量是否为数字或数字字符串
bool is_numeric ( mixed $var )
strcmp() 函数比较两个字符串。
strcmp() 函数是二进制安全的,且区分大小写。该函数与 strncmp() 函数类似,不同的是,通过 strncmp() 您可以指定每个字符串用于比较的字符数。
strcmp(string1,string2)
参考博客
https://blog.csdn.net/qq_45925514/article/details/124853227
php弱语言特性-计算科学计数法
https://www.cnblogs.com/-chenxs/p/1165305
一文了解PHP的各类漏洞和绕过姿势
https://cloud.tencent.com/developer/article/2127498
php 中的strcmp函数