起名字真难
<?php
function noother_says_correct($number)
{
$one = ord('1');
$nine = ord('9');
for ($i = 0; $i < strlen($number); $i++)
{
$digit = ord($number{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
return false;
}
}
return $number == '54975581388';
}
$flag='*******';
if(noother_says_correct($_GET['key']))
echo $flag;
else
echo 'access denied';
?>
这里要求参数是54975581388,但是前面分for循环又过滤了1~9,所以这里可以将54975581388转化为16进制进行绕过,只要转后不含1 ~9的数即可,因为php是可以不同进制数之间比较的。而且因为这里是弱类型,所以必须以数字进行转换,以字符串进行转换时不正确的。
54975581388=0xccccccccc
SQL Injection
源码
#GOAL: login as admin,then get the flag;
error_reporting(0);
require 'db.inc.php';
function clean($str){
if(get_magic_quotes_gpc()){
$str=stripslashes($str);
}
return htmlentities($str, ENT_QUOTES);
}
$username = @clean((string)$_GET['username']);
$password = @clean((string)$_GET['password']);
$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';
$result=mysql_query($query);
if(!$result || mysql_num_rows($result) < 1){
die('Invalid password!');
}
echo $flag;
这里的stripslashes会去除自动加的转义符,htmlentities($str, ENT_QUOTES)会对字符串的单双引号转为html实体,就是如"<script>alert('123')</script>"
变为<script>alert('123')</script>gt
,所以这里肯定不能将将username用’来闭合,然后将后面的注释掉。
因为原SQL语句是SELECT * FROM users WHERE name='' AND pass='';
只要我们将username后面的单引号不让他包裹起来,那username前面的个单引号就会和pass的前一个单引号合起来作为name的值,然后后面pass传参为 or 1 = 1,使SQL语句的执行结果为永真,就行的通了。
传入?username=admin\$password=or 1 = 1--+
SQL语句成为了
SELECT * FROM users WHERE name='admin\' AND pass='or 1 = 1 -- '
\'只是字符串中的一个单引号
由此得到flag。
密码重置2
要求登录,随便输入什么进去看,发现通过get方式传参,用burp suite抓包看看是不是post有东西,但是都没有用。判断SQL注入是不可能的了。
这里看的别人的WR,感觉比较新颖。
vim的特性,自动备份:
一、vim备份文件
默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件,某些情况下可以对其下载进行查看; eg:index.php普遍意义上的首页,输入域名不一定会显示。 它的备份文件则为index.php~
二、vim临时文件
vim中的swp即swap文件,在编辑文件时产生,它是隐藏文件,如果原文件名是submit,则它的临时文件
.submit.swp。如果文件正常退出,则此文件自动删除。
从html源码中看到跳转到的是submit.php,因此这里会有临时文件.submit.php.swp
,打开看得到源码
........杩欎竴琛屾槸鐪佺暐鐨勪唬鐮�........
/*
濡傛灉鐧诲綍閭鍦板潃涓嶆槸绠$悊鍛樺垯 die()
鏁版嵁搴撶粨鏋�
--
-- 琛ㄧ殑缁撴瀯 `user`
--
CREATE TABLE IF NOT EXISTS `user` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(255) NOT NULL,
`email` varchar(255) NOT NULL,
`token` int(255) NOT NULL DEFAULT '0',
PRIMARY KEY (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 AUTO_INCREMENT=2 ;
--
-- 杞瓨琛ㄤ腑鐨勬暟鎹� `user`
--
INSERT INTO `user` (`id`, `username`, `email`, `token`) VALUES
(1, '****涓嶅彲瑙�***', '***涓嶅彲瑙�***', 0);
*/
........杩欎竴琛屾槸鐪佺暐鐨勪唬鐮�........
if(!empty($token)&&!empty($emailAddress)){
if(strlen($token)!=10) die('fail');
if($token!='0') die('fail');
$sql = "SELECT count(*) as num from `user` where token='$token' AND email='$emailAddress'";
$r = mysql_query($sql) or die('db error');
$r = mysql_fetch_assoc($r);
$r = $r['num'];
if($r>0){
echo $flag;
}else{
echo "澶辫触浜嗗憖";
}
}
里面有中文乱码,但是读php代码还是可以知道token=0000000000
然后从index.php的html文件中得到<meta name="admin" content="admin@nuptzj.cn" />
邮箱为admin@nuptzj.cn,将结果输入进去即可。