上述为题目要求,应该是代码审计相关的题目,因此需要分析代码含义。
1.要满足强等于即类型和数值都需要相等,以及第一个数值不等。因此,需要构造满足条件的stuff。
$stuff === $array && $stuff[0] != 'admin'
https://segmentfault.com/q/1010000003871264
https://two.github.io/2015/09/15/PHP-array-hash-key-overflow/
介绍了为什么会构造stuff[4294967296]=admin&stuff[1]=user
2.preg_match("/^\d+$/im",$num)
这是一个正则表达式的规定。
^:行开头
\d:数字
+:出现至少一次
.:任意字符,除换行和回车之外
?:出现0或1次
(.\d+)?:括号里内出现0或1次
$:行结尾
/im中i(ignore)表示执行大小写不敏感的匹配,m(multiple)表示允许多行匹配
该语句的意思是匹配数字,对大小写不敏感,并且允许跨行操作。
3.可以看出主要是对一些特殊命令字符进行过滤,如cat命令一般找flag时,都会采用。但前面有可以跨行使用,因此我们可以通过%0a换一行的操作来执行代码。
!preg_match("/sh|wget|nc|python|php|perl|\?|flag|}|cat|echo|\*|\^|\]|\\\\|'|\"|\|/i",$num
4.实践操作,利用burpsuite抓包,修改数据包信息,进而显示flag。
增加Content,发现并没有回显,当时找了很多原因,发现初始界面是可以回显,因此,当时想的暂时不管这个问题,继续往下构造payload。
发现可以正常回显,经过重复几次,发现是否可以回显的关键在于是否在末尾添加%0a。
%0a表示空格。
构造最终payload,获得flag。
stuff[4294967296]=admin&stuff[1]=user&num=123456%0Aca``t /fl``ag%0a