代码审计
先看一下代码
代码里有三个变量a,b,c要通过GET方式传入,并且对a,b,c变量设置了判断,接下来分别看看怎么达成他们的判断条件以及其代码分析
a变量
inval($a)>6000000 要求传入的a为大于6000000,但后面的strlen()函数限制了a的长度在3以内
此时可以考虑用科学计数法来绕过即a=1e9 ,此时可以使a满足条件
b变量
b变量这里用到了md5截断判断,'8b184b' === substr(md5($b),-6,6)
即将b变量进行md5加密,并用substr截取加密后的后6位,截取的结果要为'8b184b'
这个时候需要用代码来爆破一下
from multiprocessing.dummy import Pool as tp
import hashlib
knownMd5 = '8b184b'
def md5(text):
return hashlib.md5(str(text).encode('utf-8')).hexdigest()
def findCode(code):
key = code.split(':')
start = int(key[0])
end = int(key[1])
for code in range(start, end):
if md5(code)[-6:] == knownMd5:
print code
break
list=[]
for i in range(3):
list.append(str(10000000*i) + ':' + str(10000000*(i+1)))
pool = tp()
pool.map(findCode, list)
pool.close()
pool.join()
我这里爆破的结果是53724,也许还有其他结果没爆破出来
此处代码借鉴了MD5截断比较验证 - Ye'sBlog - 博客园 (cnblogs.com)
c变量
代码将传入的c变量进行了json格式的转换,将json转换为php,并再次转换为数组
那么c传入的值便要是json格式,同时里面包含了m,n两个key,m键对应的值要不为数字且大于2022,此时包含一个知识点,php中当字符与数字进行比较时,字符部分会转为0,即传入
"m":"9999a",比较时会变成9999
n键对应的值为数组,数组里有两个值,并且数组的第一个值也为数组
那么n传入的格式应为 "n":[[XXX],XXX],再看下面的代码
array_search("DGGJ", $c["n"]),这里是搜索n中是否有"DGGJ",有则返回Ture并进行下一步
与弱相等类似即该函数进行匹配时如果是字符串与数字,字符串会转为0,那么让"n":[[XXX],0]即可
foreach循环部分意思是n中有"DGGJ"就会输出no...,意思是n中不能包含"DGGJ"
"n":[[666],0] 同样可以满足
最终c={"m":"9999a","n":[[666],0]}
最后传入 a=1e9&b=53724&c={"m":"9999a","n":[[6],0]}即可