代码审计题
代码:
http://123.206.87.240:9009/15.php
<?php
$flag = "flag";
if (isset ($_GET['ctf'])) {
if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)//①
echo '必须输入数字才行';
else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)//②
die('Flag: '.$flag);
else
echo '骚年,继续努力吧啊~';
}
?>
题目要求payload应为数字并且包含字符串“#biubiubiu”,按常理是做不到的,所以我百度ereg函数漏洞和strpos函数漏洞,发现了一个ereg的漏洞可以使用:
ereg()只能处理字符串的,遇到数组做参数返回NULL,判断用的是 === ,其要求值与类型都要相同,而NULL跟FALSE类型是不同的,所以①判断if不成立,继续执行②,这时strpos函数遇到数组,也返回NULL,与FALSE类型不同,if条件成立,输出flag。
这里我是看他的这个博客学来的https://www.jianshu.com/p/7b732d4b8eac
所以payload应该是?ctf[]=任意字符,甚至就是?ctf[]=。