ctf 图片 php_总结下CTF中PHP中简单的考点

最新推荐文章于 2022-02-16 15:32:00 发布
最新推荐文章于 2022-02-16 15:32:00 发布
阅读量200 收藏
点赞数
文章标签: ctf 图片 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39874881/article/details/115097618
版权
本文总结了CTF中PHP的一些常见考点,包括弱类型问题(如`==`与`===`的区别)、字符串转化为数值的规则、strcmp漏洞、MD5绕过、array_search与is_array的利用、JSON绕过以及switch语句的绕过。通过实例展示了如何利用这些特性进行漏洞利用,例如使用0e开头的字符串进行MD5比较绕过。
摘要由CSDN通过智能技术生成

最近碰到的一些php的,比如说弱类型和变量覆盖和一些函数造成的问题,还有序列化反序列化和php伪协议,

比如弱类型有==的问题和md5,array_search .  还有strcmp漏洞(数组绕过),ereg函数%00截断漏洞,变量覆盖的话有$$,extract()函数和parse_str()

知识介绍

php中有两种比较的符号 == 与 ===

1 <?php

2 $a = $b ;

3 $a===$b ;

4 ?>

=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较

== 在进行比较的时候,会先将字符串类型转化成相同,再比较

如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行

这里明确了说如果一个数值和字符串进行比较的时候,会将字符串转换成数值

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 <?php

2 var_dump("admin"==0); //true

3 var_dump("1admin"==1); //true

4 var_dump("admin1"==1) //false

5 var_dump("admin1"==0) //true

6 var_dump("0e123456"=="0e4456789"); //true

7 ?> //上述代码可自行测试

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等

2 "1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却等于错误,也就是"admin1"被转化成了0,为什么呢??3 "0e123456"=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等

对于上述的问题我查了php手册

当一个字符串欸当作一个数值来取值,其结果和类型如下:如果该字符串没有包含'.','e','E'并且其数值值在整形的范围之内

该字符串被当作int来取值,其他所有情况下都被作为float来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为0。

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 <?php

2 $test=1 + "10.5"; // $test=11.5(float)

3 $test=1+"-1.3e3"; //$test=-1299(float)

4 $test=1+"bob-1.3e3";//$test=1(int)

5 $test=1+"2admin";//$test=3(int)

6 $test=1+"admin2";//$test=1(int)

7 ?>

48304ba5e6f9fe08f3fa1abda7d326ab.png

所以就解释了"admin1"==1 =>False 的原因

0x03 实战

md5绕过(Hash比较缺陷)

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 <?php

2 if (isset($_GET['Username']) && isset($_GET['password'])) {

3 $logined = true;

4 $Username = $_GET['Username'];

5 $password = $_GET['password'];

6

7 if (!ctype_alpha($Username)) {$logined = false;}

8 if (!is_numeric($password) ) {$logined = false;}

9 if (md5($Username) != md5($password)) {$logined = false;}

10 if ($logined){

11 echo "successful";

12 }else{

13 echo "login failed!";

14 }

15 }

16 ?>

48304ba5e6f9fe08f3fa1abda7d326ab.png

题目大意是要输入一个字符串和数字类型,并且他们的md5值相等,就可以成功执行下一步语句

介绍一批md5开头是0e的字符串 上文提到过,0e在比较的时候会将其视作为科学计数法,所以无论0e后面是什么,0的多少次方还是0。md5('240610708') == md5('QNKCDZO')成功绕过!

48304ba5e6f9fe08f3fa1abda7d326ab.png

QNKCDZO

0e830400451993494058024219903391

s878926199a

0e545993274517709034328855841020

s155964671a

0e342768416822451524974117254469

s214587387a

0e848240448830537924465865611904

s214587387a

0e848240448830537924465865611904

s878926199a

0e545993274517709034328855841020

s1091221200a

0e940624217856561557816327384675

s1885207154a

0e509367213418206700842008763514

48304ba5e6f9fe08f3fa1abda7d326ab.png

json绕过

48304ba5e6f9fe08f3fa1abda7d326ab.png

if (isset($_POST['message'])) {

$message = json_decode($_POST['message']);

$key ="*********";

if ($message->key == $key) {

echo "flag";

}

else {

echo "fail";

}

}

else{

echo "~~~~";

}

?>

48304ba5e6f9fe08f3fa1abda7d326ab.png

输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于 $key的值,但是$key的值我们不知道,但是可以利用0=="admin"这种形式绕过

最终payload message={"key":0}

array_search is_array绕过

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 <?php

2 if(!is_array($_GET['test'])){exit();}

3 $test=$_GET['test'];

4 for($i=0;$i

5 if($test[$i]==="admin"){

6 echo "error";

7 exit();

8 }

9 $test[$i]=intval($test[$i]);

10 }

11 if(array_search("admin",$test)===0){

12 echo "flag";

13 }

14 else{

15 echo "false";

16 }

17 ?>

48304ba5e6f9fe08f3fa1abda7d326ab.png

上面是自己写的一个,先判断传入的是不是数组,然后循环遍历数组中的每个值,并且数组中的每个值不能和admin相等,并且将每个值转化为int类型,再判断传入的数组是否有admin,有则返回flag

payload test[]=0可以绕过

下面是官方手册对array_search的介绍

mixed array_search ( mixed $needle , array $haystack [, bool $strict = false ] )

$needle,$haystack必需,$strict可选  函数判断$haystack中的值是存在$needle,存在则返回该值的键值 第三个参数默认为false,如果设置为true则会进行严格过滤

1 <?php

2 $a=array(0,1);

3 var_dump(array_search("admin",$a)); // int(0) => 返回键值0

4 var_dump(array_seach("1admin",$a)); // int(1) ==>返回键值1

5 ?>

array_search函数 类似于== 也就是$a=="admin" 当然是$a=0  当然如果第三个参数为true则就不能绕过

strcmp漏洞绕过 php -v <5.3

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 <?php

2 $password="***************"

3 if(isset($_POST['password'])){

4

5 if (strcmp($_POST['password'], $password) == 0) {

6 echo "Right!!!login success";n

7 exit();

8 } else {

9 echo "Wrong password..";

10 }

11 ?>

48304ba5e6f9fe08f3fa1abda7d326ab.png

strcmp是比较两个字符串,如果str10 如果两者相等 返回0

我们是不知道$password的值的,题目要求strcmp判断的接受的值和$password必需相等,strcmp传入的期望类型是字符串类型,如果传入的是个数组会怎么样呢

我们传入 password[]=xxx 可以绕过 是因为函数接受到了不符合的类型,将发生错误,但是还是判断其相等

payload: password[]=xxx或者传入以一个object

switch绕过

48304ba5e6f9fe08f3fa1abda7d326ab.png

1 <?php

2 $a="4admin";

3 switch ($a) {

4 case 1:

5 echo "fail1";

6 break;

7 case 2:

8 echo "fail2";

9 break;

10 case 3:

11 echo "fail3";

12 break;

13 case 4:

14 echo "sucess"; //结果输出success;

15 break;

16 default:

17 echo "failall";

18 break;

19 }

20 ?>

48304ba5e6f9fe08f3fa1abda7d326ab.png

这种原理和前面的类似,就不详细解释了

标签:admin,考点,数值,CTF,字符串,绕过,PHP,array,md5

来源: https://www.cnblogs.com/BOHB-yunying/p/10847273.html

weixin_39874881
关注
【网络安全 | CTF】攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议】
等风来
05-22 1万+
PHP 语言一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统的文件,可以在 web 页面链接到本地文件,或者读取本地文件的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
ctfweb题型找到php后怎么做,CTF之web总结
weixin_39521009的博客
04-01 2766
身为一只web小白,但也刷了不少CTF方面的web题,趁着今天有时间,坐下来总结一下关于web的解题方法。0x01 直接查看源代码解题方法:点击右键,查看页面源代码将hidden改为text,value=0改为value=1,点击Enter。出现下图:这段代码的意思就是,将我们传给PIN的值给a,如果a=-1982774773616112831283716166172777371616672727...
bugku ctf flag.php (点了login咋没反应)
qq_42777804的博客
08-03 844
打开之后 提示 hint那么访问他 是源码 <?php error_reporting(0); include_once("flag.php"); $cookie = $_COOKIE['ISecer']; if(isset($_GET['hint'])){ show_source(__FILE__); } elseif (unserialize($...
总结CTFPHP遇见的考点
weixin_30390075的博客
05-10 373
最近碰到的一些php的,比如说弱类型和变量覆盖和一些函数造成的问题,还有序列化反序列化和php伪协议, https://www.jianshu.com/p/fe158ab25120南京邮电CTF wp设计到挺多 比如弱类型有==的 和md5,array_search . 还有strcmp漏洞(数组绕过),ereg函数%00截断漏洞,变量覆盖的话有$$,extract()函数和parse_st...
CTF平台一道PHP代码审计
aaeoj8957的博客
06-30 322
这道题不是说太难,但是思路一定要灵活,灵活的利用源码给的东西。先看一下源码。 首先要理解大意。 这段源码的大致的意思就是,先将flag的值读取放在$flag里面。 后...
CTF遇到的源码PHP函数
ChanCherry的博客
06-30 557
CTF经常需要查看源代码,源代码大部分都是PHP代码,所以了解一些PHP函数还是很有必要的,下面记录一些刷题时遇到的,备忘吧! 1.isset() 判断变量是否已经声明过,是就返回true,否就返回false 2.is_string() 判断比变量是不是字符串,是就返回true,否就返回false 3.mb_substr() 多用于文字符串,而substr()函数是针对英文字符串的,自命名为字...
ctf知识点总结
sun的博客
10-28 3296
php的序列化和反序列化:serialize()和unserialize()函数的作用是把复杂的数据类型压缩到一个字符串来传输 例如:我们要传输一个数组 $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);echo "<br />"; print_r(unse...
php upload ctf,强网杯CTF防御赛ez_upload Writeup
weixin_35645813的博客
03-17 1182
这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家。ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型的ctf式题目(虽然现在大家都很抵制这样的题目),这里主要是分享Writeup以及我们队在完成题目时的思考流程。ez_upload 思考流程最开始我先描述一下题目逻辑。1、login.php,登陆页面,...
ctf+php反序列化,CTFPHP反序列化漏洞简单分析
weixin_39965881的博客
04-02 1801
本帖最后由 icq_8bf67fe65 于 2018-9-2 21:20 编辑本文原创作者:Versi0n,本文属i春秋原创奖励计划,未经许可禁止转载!一、前言在ctf比赛,经常会遇到php反序列化漏洞的题,今天就来简单分析下该漏洞的正确食用姿势~二、正文1.基础知识PHP序列化:php为了方便进行数据的传输,允许把复杂的数据结构,压缩到一个字符串,使用serialize()函数。PHP反序列...
CTFPHP相关题目考点总结(二)
HBohan的博客
02-16 3081
介绍 本篇文章主要总结了我在写ctfshow题目遇到的关于PHP考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。 PHP特性相关考点 一、 考点php正则表达式的匹配模式差异。 例题: show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ #/i表示不区分大小写,/m表示多行匹配 i.
php is_array()
lanyangyang0103的专栏
05-14 354
本博文为知记内容,着重记一下3个参数的问题,以及第三个参数 type 的作用 in_array(search,array,type) 参数 描述 search 必需。规定要在数组搜索的值。 array 必需。规定要搜索的数组。 type 可选。如果设置该参数为 true,则检查搜索的数据与数组的值的类型是否相同。 ...
ctf php数组问题,CTF一些PHP问题小结(续)
weixin_30741979的博客
04-06 1171
md5绕过(hash比较缺陷)
md5 php 漏洞,CTF常见php-MD5()函数漏洞
weixin_32619013的博客
03-10 929
数字与字符串之间的比较12var_dump( 0 == "a" );var_dump( "0" == "a" );第一个返回的是 true ,第二个返回的是 false因为php把字母开头的转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前(如intval(‘123abd45gf’)结果为123)MD5函数漏洞12$_GET['name'] != $_GET['pass...
CTFphp相关考点
meteox的博客
08-07 2458
以前在做CTF题的时候总是会遇到一些用php的trick才能过的题,知识点还是很杂的,主要是php这种动态弱类型语言实在是太灵活,各种奇葩写法也多,把之前的知识总结下。 学长的博客有对php黑魔法进行了一些总结,我在此基础上进行拓展 https://skysec.top/2017/07/22/PHP%E5%87%BD%E6%95%B0%E9%BB%91%E9%AD%94%E6%B3%95%E5%B0%8F%E6%80%BB%E7%BB%93/#%E9%BB%91%E9%AD%94%E6%B3%95%E5%A
PHP绕过md5
jpygx123的博客
11-20 1246
测试代码: if (isset($_GET['Username']) &amp;&amp; isset($_GET['password'])) { $logined = true; $Username = $_GET['Username']; $password = $_GET['password']; if (!ctype_alpha($Usernam...
慎用php的array_search函数
weixin_34258838的博客
08-10 318
2019独角兽企业重金招聘Python工程师标准>>> ...
[ctf零基础入门]php基础
小飒的博客
08-28 1205
本文难度简单,适合0基础 工具:hackbar或burp ,PHPstudy Php基本语法: https://www.w3school.com.cn/php/php_syntax.asp 先快速自学 弱类型 如果一个字符串为 “合法数字+e+合法数字”类型,将会解释为科学计数法的浮点数 如果一个字符串为 “合法数字+ 不可解释为合法数字的字符串”类型,将会被转换为该合法数字的值,后面的字符串将会被丢弃 如果一个字符串为“不可解释为合法数字的字符串+任意”类型,则被转换为0! 1 <?php 2 va
php 弱类型总结
m0_51428325的博客
12-26 1499
知识介绍: php有两种比较的符号`==`与`===`** <?php $a == $b; $a === $b; ?> ===在进行比较的时候,会先判断两种字符传类型是否相等,再比较 1、==和=== ==为弱相等,也就是说12=="12" --> true,而且12=="12cdf" --> true,只取字符串开头的整数部分,但是1e3dgf这样的字符串在比较时,取的是符合科学计数法的部分:1e3,也就是1000. 而且bool类型的true
ctf PHP弱类型认证,回首再看CTF的那些PHP弱类型
weixin_39719732的博客
03-13 264
原文来自SecIN社区—作者:湿巾不湿0x00 无话可说的类型转换众所周知PHP各数据类型转整数型与取整函数intval()关系密切,intval()函数就是类型转换产生的PHP弱类型问题的关键因素。...
ctf题目Web_php_include
最新发布
07-28
回答: 这个CTF题目是一个关于PHP文件包含漏洞的题目。在给定的代码,使用了include函数来包含一个可控的$page变量。然而,通过使用strstr函数来过滤了包含"php://"的情况。\[1\]但是,我们可以通过大小写绕过strstr函数的限制来绕过这个过滤。\[2\]另外,通过观察URL,我们可以发现存在一个名为flag.php的文件。因此,我们可以构造一个payload来读取flag.php文件的内容,例如使用php://filter伪协议来进行base64编码并读取flag.php文件的内容。\[3\] #### 引用[.reference_title] - *1* [ctf-攻防世界-web:Web_php_include](https://blog.csdn.net/m0_62619559/article/details/121345424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [ctf web 文件包含漏洞(例题)](https://blog.csdn.net/weixin_49298265/article/details/110356100)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值