【攻防世界】二十二 --- favorite_number --- php代码审计

题目 — favorite_number

一、writeup

审计主页的代码

<?php
// php5.5.9
// 传参方式是post
$stuff = $_POST["stuff"];
// 白名单
$array = ['admin', 'user'];

// 既要数组强等于,又要首元素元素不等于
// 即要$stuff === ['admin', 'user'] 又要 $stuff[0]!='admin' 
// 根据上面的提示,只能是php5.5.9的版本漏洞了
if($stuff === $array && $stuff[0] != 'admin') {
   
    // 取得另一个post参数
    $num= $_POST["num"];

    // 正则匹配,要求全是数字 /i --- 忽略大小写 ,/m --- 多行匹配
    if (preg_match("/^\d+$/im",$num))
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值