攻防世界 easyphp

已于 2022-12-13 16:44:44 修改
阅读量953 收藏 5
点赞数 5
分类专栏: ctf 攻防世界 web安全 文章标签: php web安全
于 2022-12-13 11:18:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53105813/article/details/128298851
版权
攻防世界 同时被 3 个专栏收录
37 篇文章 9 订阅
订阅专栏
ctf
35 篇文章 2 订阅
订阅专栏
web安全
10 篇文章 0 订阅
订阅专栏

Easyphp   对于初学者其实一点也不easy哈

打开题目场景

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

?> Emmm...

经典的php代码审计题

首先我们大致浏览一下,想要输出flag

Flag的输出与key1 && key2有关

key1 && key2又与我们通过get方式提交的a,b,c三个参数有关

a,b决定key1,c决定key2

我们一点点来看

参数a

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)

分析:

a的值需要大于 6000000,同时也需要长度小于3

尝试 科学技术法  7e6

参数b

 if(isset($b) && '8b184b' === substr(md5($b),-6,6))

分析:

b的后六位md5值要等与8b184b,这个需要使用脚本跑一下了,我偷懒这里使用一下最近很火的chatgpt

不得不说这个玩意是真的强

import hashlib

 



for i in range(100000):

    m = hashlib.md5()

    m.update(str(i).encode())

    h = m.hexdigest()

    if h[-6:] == "8b184b":

        print(i)

        break

得到b为53724

接下来是最难的

参数c

$c=(array)json_decode(@$_GET['c'])

分析:

C参数应该是一个json数据,解析成数组

if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)

判断c为数组  , is_numeric php内置函数判断是否为数字,题中不要数字,m键值要大于2022

想到了php弱类型比较   写一个2023a即可

 if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))

n必须为数组,键值有两个,类似于[[*,*...],*]。

 $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;

array_search() 函数与 in_array() 一样,在数组中查找一个键值。如果找到了该值,匹配元素的键名会被返回。如果没找到,则返回 false

数组中找DGGJ,如果没找到DGGJ,die,这里我们肯定找到了,接着往下执行

foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;

在php中,三个等号“===”是全等比较运算符,用于比较两个操作数的值是否相等,同时检测它们的类型是否相同;只有两边的值和数据类型都相等时,运算结果才是TRUE

匹配n的一个键值若等于DGGJ直接die

不能存在DGGJ,但array_search()又要查找并且要有结果,矛盾,这里肯定要绕过,全等肯定无法绕过

查到array_search()的绕过

array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用0DGGJ进行弱比较,0 == 'DGGJ'又0===='DGGJ'为false

即n的值中有0成功了写payload

?a=6e7&b=53724&c={"m":"2023a","n":[[],0]}

提交payload​​​​​​​

You're right cyberpeace{15ad787a1de7cf92b7fd50ee19e3c5cb}

提交

cyberpeace{15ad787a1de7cf92b7fd50ee19e3c5cb}

Dalean.
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界--simple php,easy php
m0_67467924的博客
04-20 920
第一个if判断语句,使用isset判断变量a是否申明,使用intval获取变量的整数值,并判断其值大于6000000,使用strlen函数判断变量a的长度,且长度小于等于3.若三个同时满足,那么进行二次判断,若变量b也有声明,同时他的值在使用md5加密后使用substr函数获取加密后的6位,且这6位的值为8b84b,如果满足就给key变量赋值为1;最后我们来绕过c,首先c是一个数组,且数组中存在m键,因为m不能为数值型,但又要大于2022,于是我们选择构造5555ab这个字符来绕过。进入环境,代码审计,
攻防世界(web)---simple_php
ooooohhhhhhh博客
08-02 284
看代码分析 ,此题的flag是由flag1和flag2两部分组成 直接传参得到flag1 或者 if($a==0and$a){ echo$flag1; } 表示:参数a=0且a为真。 /?a=1&a==0 得到flag1 is_numeric() 函数用于检测变量是否为数字或数字字符串(百度得) if(is_numeric($b)){ exit(); } if($b>1234){ echo$flag2; } 表示:b不是...
Web安全攻防世界05 easyphp(江苏工匠杯)
weixin_42789937的博客
12-04 3985
Web安全攻防世界05 easyphp(江苏工匠杯),呃...我php0基础,自己解题,所以写得会很啰嗦...内容对小白依然非常友好~
攻防世界easyphp
RexHa的博客
02-01 4232
攻防世界 easyphp
攻防世界-easyphp
最新发布
weixin_64659753的博客
05-26 398
攻防世界-easyphp
攻防世界--easyphp
qq_51802152的博客
12-17 831
攻防世界--easyphp
攻防世界题目simple——php
weixin_72146684的博客
10-26 167
0.0
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了...
EasyPHP.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
easyphp5.4.6
02-08
Apache是世界上最流行的Web服务器软件,以其稳定性、高效性和可扩展性而闻名。在EasyPHP中,Apache被配置为与PHP无缝协作,通过修改httpd.conf配置文件,可以轻松定制服务器行为,例如设置虚拟主机、调整服务器限制...
easyphp12.1
09-23
MySQL是世界上最广泛使用的开源关系型数据库管理系统(RDBMS),在EasyPHP中,它负责存储和管理数据,例如在搭建Moodle这样的课程平台时,学生的个人信息、课程内容、成绩等都会存储在MySQL数据库中。MySQL以其高效...
( EasyPHP v12.1
09-03
- **Apache服务器**:EasyPHP集成的是Apache HTTP Server,这是世界上最流行的Web服务器软件,支持多种操作系统,并且具有强大的扩展性和稳定性。 - **PHP解释器**:EasyPHP包含的是PHP...
攻防世界-easyphp 思路分析
weixin_73560599的博客
09-26 251
c["n"]获取数组变量中键名为"n"的元素的值 每次循环中,将当前元素的键名赋值给key变量,将当前元素的值赋值给val变量。array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用0和DGGJ进行弱比较。这里用array_search函数的一个漏洞 待匹配的模式串里有0时会与字符串进行比较时,字符串也会转变为0,这样就算不出现DGGJ也可以返回1。跑出结果为53724 所以这里的b的值就为53724。
攻防世界-web- easyphp
32bin的博客
10-30 1214
最近在学习CTF web相关知识,顺带学习php,在攻防世界平台上做做题。遇到了一道名为easyphp的题目,对我这个新手一点也不easy,于是决定把过程记录下来。版权声明:本文为CSDN博主「weixin_46906325」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/weixin_46906325/article/details/127154789。#攻防世界-web- easyphp。依次构造a、b、c的值!
【愚公系列】2023年05月 攻防世界-Webeasyphp
时光隧道
05-25 8168
PHP 中,如果数字字符串和数字进行比较,会自动将数字字符串转换为数字。例如,“10” == 10 返回 true。但是,如果使用 === 进行比较(类型和数值都相等),则会返回 false,因为它们不是严格相等的。因此,在进行比较时,需要注意值的类型。
攻防世界web新手区easyphp题解writeup
weixin_46906325的博客
10-03 7206
攻防世界web新手区easyphp题解
easyphp
qq_51979295的博客
09-20 238
php数据类型小综合

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值