[MRCTF2020]Ez_bypass

web第27题
[MRCTF2020]Ez_bypass

打开靶场

查看源码

php代码审计

I put something in F12 for you
include 'flag.php';
$flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}';
if(isset($_GET['gg'])&&isset($_GET['id'])) {
    $id=$_GET['id'];
    $gg=$_GET['gg'];
    if (md5($id) === md5($gg) && $id !== $gg) {
        echo 'You got the first step';
        if(isset($_POST['passwd'])) {
            $passwd=$_POST['passwd'];
            if (!is_numeric($passwd))
            {
                 if($passwd==1234567)
                 {
                     echo 'Good Job!';
                     highlight_file('flag.php');
                     die('By Retr_0');
                 }
                 else
                 {
                     echo "can you think twice??";
                 }
            }
            else{
                echo 'You can not get it !';
            }

        }
        else{
            die('only one way to get the flag');
        }
}
    else {
        echo "You are not a real hacker!";
    }
}
else{
    die('Please input first');
}
}Please input first

首先

if(isset($_GET['gg'])&&isset($_GET['id'])) {
    $id=$_GET['id'];
    $gg=$_GET['gg'];
    if (md5($id) === md5($gg) && $id !== $gg) 

用get参数传参，判断md5后的值是否相等，注意这里是===强等于，可以将参数设置为数组进行绕过，如果是双等号弱等于，可以找两个md5加密后开头都是0e（这样就会被认为是科学计数法）的参数进行绕过，参考我做的另外一道题：buuctf初学者学习记录–[BJDCTF2020]Easy MD5

?gg[]=1&id[]=2

提示通过第一步的验证
第二步：

if(isset($_POST['passwd'])) {
            $passwd=$_POST['passwd'];
            if (!is_numeric($passwd))
            {
                 if($passwd==1234567)
                 {
                     echo 'Good Job!';
                     highlight_file('flag.php');
                     die('By Retr_0');

用post方式传递参数passwd，首先用is_numeric判断是否是数字，如果不是数字就判断是否是1234567，重点就是绕过is_numeric的检查
php is_numeric绕过
在1234567后面加上%00截断就行，也就是说is_numeric(1234567%00)结果为false，加上！就为true，就进入了下一个if判断，这时候截断符%00就没有了，字段判断就为true

passwd=1234567%00

用hackbar进行post提交

得到flag