easyphp(xctf)

最新推荐文章于 2024-05-02 14:26:53 发布
最新推荐文章于 2024-05-02 14:26:53 发布
阅读量543 收藏
点赞数 1
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56107268/article/details/127830960
版权 
<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

?>

只有当$key1和$key2都=1时,才会显示falg。为了让它们都等于1,一共需要对三个参数进行绕过

参数a

isset($a) && intval($a) > 6000000 && strlen($a) <= 3

判断参数是否为空,并且传入的数据长度不能超过3,值要大于6000000。

可以使用科学计数法来绕过  1e3=100

参数b 

isset($b) && '8b184b' === substr(md5($b),-6,6)

参数b传入的数据被MD5加密后的最后6位必须是8b184b

可以爆破出来,php代码

<?php
$a=0;
while(1)
{
    if(substr(md5($a),-6,6)==='8b184b')
    {
        echo $a;
        break;
    }
    $a++;
}
?>

结果是:
53724

 参数c

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;

json_decode()接受一个JSON格式的字符串并且把它转换为PHP变量 ,当该参数$assoc为TRUE时,将返回array,否则返回object。

 传入的c必须有m,n两个键名,m的键值不是数字,但是要大于2022。

php中,当字符与数字进行比较时,字符会被转化为数字, 可以构造  "m":2023a。

n的键值是一个数组,数组的长度不能超过2,并且is_array($c["n"][0]) 告诉我们必须是一个二维数组

"n":[[1,2],[1,2]]   ->  $c['n']=[[1,2],[1,2]] , $c['n'][0]=[1,2]

$d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;

array_search() 在数组中搜索要查询的键值,并返回它的键名(没有键名,返回下标)

首先$d不能的flase,那么array_search() 能够搜索带"DGGJ",即数组中有DGGJ

然后在foreach遍历循环中,又不能让$val="DGGJ",即数组中不能又DGGJ

两者互相矛盾

可以从array_search()这里来绕过,array_search()在搜索中,实际上是一个比较的过程

php中数字和字符串进行比较的时后,字符串会被传换位数字,所以在与数字比较的时候,DGGJ会被转换位0,只需要数组中有0即可。

成功返回了0对应的下标。

所以c={"m":2023a,"n"=[[1,2],0]}

 

坠水
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MD5加密+截取字符
05-09
MD5工具类以及截取字符后加密,可用于账号截取字符加密
攻防世界题目练习——Web难度1(二)
qq_48550824的博客
09-01 334
length:正数 - 从 start 参数所在的位置返回的长度,负数 - 从字符串末端返回的长度,如果 start 参数是负数且 length 小于或等于 start,则 length 为 0。因为本题中字符串"DGGJ"是没有数字的字符串,因此,当我们的$c[“n”]=0的时候(或者null),会将前面要查找的字符串自动转化为0然后进行比较。“admin”==0 //admin被转换成数字,由于admin是字符串,转换失败,int(admin)=0,所以比较结果是true。
[WP]第五届XMan选拔赛web
xiongshivigor的博客
08-11 351
第五届XMan选拔赛 本次比赛一共三道web,一道签到题就不用说了,另外两道貌似也都不是很难的题,但是确实水个人平太菜,没都做做出来,还是逐步积累经验吧 easyphp <?php error_reporting(0); highlight_file(__FILE__); class XMAN{ public $class; public $para; public $check; public function __construct() {
XCTF-easy_web
qq_43465336的博客
08-20 139
参考:https://blog.csdn.net/qq_59950255/article/details/123215817。找一些特殊字符看看字符规范器效果和能不能找到能规范成{{}}的特殊字符。抓包中返回python版本,可能存在flask_ssti模板注入。但需将受限字符先转为特殊字符,使用python脚本完成上述处理。加引号尝试注入,有报错提示引号是不准使用的字符。1+1的代码执行了,存在ssti模板注入漏洞。输入{{11}}发现{{}}被过滤。找到特殊字符︷︷︸︸。好用的payload。
CTF-江苏工匠杯easyphp 题解
百彦子烨的博客
11-04 3907
攻防世界-web新手区-江苏工匠杯-easyphp 题解
攻防世界web难度1
m0_58030673的博客
06-02 236
攻防世界web难度1wp
XCTF-easyphp
TA不懒,但还没有添加简介
04-02 346
XCTF-easyphp
攻防世界web新手区easyphp题解writeup
weixin_46906325的博客
10-03 6807
攻防世界web新手区easyphp题解
xctfeasyphp
qq_40646572的博客
10-11 696
题目如上,这个题需要绕过很多。。首先考虑参数A的绕过a参数不可以为空,并且intval($a)的值大于6000000,而且长度不能大于3。那有什么好说的,这个intval()可以用科学计数法进行绕过,直接1e8,对于a参数的拦截已经绕过。下面来看b参数的绕过,关于b参数,要求8b184b与他的substr(md5($b),-6,6)值相等,这个说实话,一开始我想到的是不是可以绕过,但后来发现好像不太行,然后就使用爆破了。
XCTF相关题解Confusion1,easyphp文件包含,lottery,ics-05,easytornado(框架)
qq_62097048的博客
11-20 860
做的相关题目,也查阅了相关的wp,希望对新手有帮助
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
easyphp5.4.6
02-08
一款集成PHP,APACHE,MYSQL的工具,绝对可用并好用!!
easyphp12.1
09-23
实现mysql php apche的功能,与moodle搭配使用 实现学校课程平台的搭建
EasyPHP5.3.9
05-02
EasyPHP安装文件,是开发php的服务器,通过将你的代码放在安装文件夹的www下,配置好服务器的listener端口,就是访问的时候的端口就ok了,祝大家好运
【Web】CTFSHOW 中期测评刷题记录(1)
最新发布
uuzeray的博客
05-02 1045
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
supervisor 简单理解
qq_42857358的博客
04-28 238
test.ini文件内容。
Debian 德比安 Nginx + PHP + MySql + beanstalkd + Redis + Node.js
HzqGhost's Blog
04-29 550
网卡模式选择桥接 mirrors.163.com阿里镜像源DeBian 安装软件选择时勾选上apt updateapt install sudo #安装 sudousermod -aG sudo username #添加普通账号到 sudo让 root 可以 SSH配置文件 /etc/ssh/sshd_config找到 PermitRootLogin 选项 并将其值修改为重启ssh先在 VirtualBox 上添加好。
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 1062
XYCTF 2024 Web 方向全解
攻防世界 easyphp
09-11
EasyPHP是一个用于Windows操作系统的开发环境,它集成了Apache服务器、MySQL数据库和PHP解释器,使得搭建和管理网站变得更加简单。在EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞、密码学等。参与者需要通过解决这些挑战来学习和提高自己的网络安全技能。同时,攻防世界也提供了一些教程和文章,帮助新手入门并引导他们深入理解攻击和防御的原理。 对于初学者来说,攻防世界的easyphp环境可以作为一个很好的起点,因为它提供了一个集成的开发环境,使得学习和实践变得更加方便。通过解决平台上的题目和挑战,初学者可以逐渐熟悉常见的安全漏洞和攻击技术,并学会如何进行相应的防御措施。 希望以上信息对你有所帮助!如果你有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值