strcmp漏洞——[极客大挑战 2019]BuyFlag

最新推荐文章于 2023-06-17 19:00:48 发布
最新推荐文章于 2023-06-17 19:00:48 发布
阅读量2.9w 收藏
点赞数 2
分类专栏: # CTF 文章标签: php ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46263782/article/details/120702356
版权

文章目录

知识点

strcmp() 漏洞:

int strcmp ( string $str1 , string $str2 )

参数 str1 第一个字符串,str2 第二个字符串,如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。

可知,传入的期望类型是字符串类型的数据,但是如果我们传入非字符串类型的数据的时候,这个函数将会有怎么样的行为呢?实际上,当这个函数接受到了不符合的类型,这个函数将发生错误,但是在 php 5.3 之前,显示了报错的警告信息后,将 return 0,也就是说虽然报了错,但却判定其相等
 

is_numeric() 漏洞:

is_numeric() 函数对于空字符%00,无论是 %00 放在前后都可以判断为非数值,而 %20 空格字符只能放在数值后。所以,查看函数发现该函数对对于第一个空格字符会跳过空格字符判断,接着后面的判断!
 

解题

在 pay.php 界面可以看到给出的规则:只有 Cuit 的学生才能购买 FLAG;

F12看到源码:

<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}
-->

password 等于404才能登录,但是 password 又不能是数字;

先用 BP 抓包,

显而易见,把 user 改成1,同时POST传入 password=404%20 试一下:

要付钱,因为这题的 Cookie 没有用上 PHPSESSID,那么这题猜一下逻辑就是直接将我们提交的 money 与要求的1000000比较,不存在记录的过程;

或者用科学计数法也是可行的:

sid10t.
关注
专栏目录
Bugku - 代码审计 | strcmp()漏洞
多崎巡礼的博客
08-23 1971
php strcmp bypass漏洞PHP 5.3版本以上的strcmp()有一个bypass漏洞,在说这个漏洞之前我们先来看一下strcmp()这个函数。   int strcmp ( string $str1 , string $str2 ) 如果 str1 小于 str2 返回 &lt; 0; 如果 str1 大于 str2 返回 &gt; 0;如果两者相等,返回 0。(注...
CTF学习笔记——[极客挑战 2019]BuyFlag
Obs_cure的博客
02-16 3637
一、[极客挑战 2019]BuyFlag 1.题目 2.解题步骤 MENU界面下有buyflag的界面,按F12看看 查了一下is_numeric()这个函数,他的作用是判断输入是否是数字的。如果是纯数字返回true,如果不是返回false。这道题注释的代码逻辑是要输入一个非纯数字的字符串且等于404,密码才能正确。 然后顺手百度了一下这个函数的漏洞,在这里贴出来: 这个函数和mysql结合起来就容易出问题,那是因为is_numeric判断的时候,当碰到16进制数的时候,也会判断成数字 is_num
C语言strlen函数的缺陷与实现,strcpy函数的缺陷与实现,strcat函数的缺陷与实现,strcmp的实现。
最新发布
cccyi7的博客
06-17 855
C语言strlen函数的缺陷与实现,strcpy函数的缺陷与实现,strcat函数的缺陷与实现,strcmp的实现。C语言常用库函数的模拟实现和使用。
Strcmp()函数漏洞
qq_45694932的博客
09-07 1073
注:php5.3之后的版本才有 int strcmp ( string $str1 , string $str2 ) 参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。 这个函数期望传入的变量为字符串类型,当传入其它类型的的时候比如数组,类会发生报错信息,同时也会return 0;虽然报错了,但是却返回了0,可等同于判断相等了 <?php $password="*
strcmp()漏洞
烟敛寒林的博客
09-03 6818
我们首先看一下这个函数,这个函数是用于比较字符串的函数 int strcmp ( string $str1 , string $str2 ) 参数 str1第一个字符串。str2第二个字符串。 如果 str1 小于 str2 返回 &lt; 0; 如果 str1 大于 str2 返回 &gt; 0; 如果两者相等,返回 0。 例1: &lt;?php echo strcmp("He...
php strcmp()漏洞
热门推荐
cherrie007的博客
08-22 1万+
strcmp漏洞
PHP中的strcmp()函数漏洞
CC__LL__CC的博客
02-27 507
首先对strcmp()这个函数: int strcmp ( string $str1 , string $str2 ) 参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。传入的应该是字符串类型,但传入的不是字符串类型呢? <?php $password="****" if(isset($_POST['password'])){ if (s
[极客挑战 2019]BuyFlag(strcmp和is_mumeric漏洞)
weixin_44110537的博客
09-19 157
f12查看前端代码: 那么对于password的绕过可以让它等于404%20,这样就可以跳过is_numeric()的检测,对于money可以让它类型错误,从而直接返回0. 另外还需要将user的值设为1,用post提交参数. 改变提交方式: 发送到repeater模块 ...
极客挑战2019-BuyFlag
m0_73303597的博客
12-11 186
自用
极客挑战 2019]BuyFlag
shannidawang的博客
07-26 96
查看源码 源码上表名了password的要求 password=404a 抓包 把这个user=0改成1 然后按要求post一个password=404a&money=100000000 这波属于搞人心态 给爷整无语了 接下来呢应该提示我money过长 两种方法 1.科学计数法 1e8 2.strcmp函数绕过特性 int strcmp ( string $str1 , string $str2 ) 参数 str1第一个字符串。str2第二个字符串。如果 str1 小于 str2 返回 &lt
[极客挑战 2019]BuyFlag
xlcvv的博客
04-05 7755
点击menu进到payflag页面: 抓包: 显而易见,把user改成1试一下: post参数password进去: 要付钱。。。结合网页页面: 盲猜变量是money,传个money进去: 数值太长了。。。试一下科学记数法: 拿到flag,不过看别人的wp,好像还有一个利用strcmp函数特性绕过的办法: strcmp()函数漏洞介绍: https://blog.csdn.net/...
PHP strcmp漏洞
qq_40481505的博客
09-20 485
int strcmp ( string $str1 , string $str2 ) 功能:比较str1,str2的大小,str1>str2返回值大于零,str1<str2返回值小于零,str1=str2返回值为零 漏洞:在php5.3版本之前,如果strcmp的参数类型为数组或object,函数将会报错,但其返回值为0,即认为相等 传入数组方法index.php?id[]=1 ...
[PHP安全特性学习]strcmp()函数安全漏洞
笑花大王
02-15 690
简介 PHP函数的安全特性-strcmp()函数 php-strcmp()函数 PHPstrcmp()函数 strcmp() 函数比较两个字符串。 注释:strcmp() 函数是二进制安全的,且区分大小写。 语法: strcmp(string1,string2) string1 必需。规定要比较的第一个字符串。 string2 必需。规定要比较的第二个字符串。 返回值: 0...
strcmp
程序人生的专栏
06-12 4546
原型 int strcmp(const char *s1,const char *s2); 参数 s1   - 字符串1 s2   - 字符串2 功能 比较两个字符串大小区分字母的大小写 返回值 当s1 当s1=s2时,返回值= 0; 当s1>s2时,返回正数。
strcmp的坑
helloworlddm的博客
07-02 1289
strcmp的坑 下面的程序是通过对输入进行判断,来决定输出内容的。 # include<stdio.h> #include<string.h> int main(){ printf("请输入: "); char buf[1024]; //这里想通过判断输入是否是quit来决定是否完成阅读 if (fgets(buf, sizeof(buf), stdin) != NULL && (strcmp(buf, "quit"))){
【BUUCTF】web 之 [极客挑战 2019]BuyFlag
weixin_44164784的博客
04-13 736
简单分析 打开链接 随便翻翻 发现菜单中的 PAYFLAG 进去康康。 很明显 ,得到flag 需要 钱 & cuiter & password 具体操作: 抓包分析: 发现cookie user=0; 0可能说明否认,所以改成1重发得到 you are Cuiter Please input your password!! 接下来觉得密码问题 贴点网页源代码 404 但是不能...
c语言strcpy函数的漏洞
学习,永不止步
04-19 4517
函数里的局部变量一般都是按序排放的,并且因为是分配在堆栈之中,它们的地址是向下“增长”,即向低地址方向增长。
为什么C语言的strcpy函数有漏洞
特权份子的专栏
09-30 940
为什么C语言的strcpy函数有漏洞 前言: 研究了几天DOS下的溢出原理,最后明白了其实原理都很简单 关键是要懂得为什么C语言的strcpy函数有漏洞,为什么对这个函 数的不正常使用会造成溢出. 一节:介绍strcpy函数 能看到这篇文章的人可能都知道问题很
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sid10t.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值