BugKu 矛盾 wp

于 2025-05-15 22:55:52 发布
阅读量290 收藏 2
点赞数 9
文章标签: wp 解题思路 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wings_S3/article/details/147993689
版权

题目没有给出信息,先打开环境,看题目里面有什么信息。

OK,给出信息确定这个题是一道代码审计题目,阅读代码可以知道

如果num不是纯数字,则响应num

如果num不是纯数字且等于1,则响应num和flag

引出知识点
弱比较和强比较的知识点
1. 弱比较(Weak Comparison)

  • 定义:弱比较通常指的是在比较两个值时,不考虑它们的类型,只比较它们的值。这种比较方式可能会导致一些意外的结果,因为不同类型的值可能会被隐式转换为相同的类型进行比较。

  • 举例

    • 在JavaScript中,使用==运算符进行比较时,就是弱比较。例如:

      JavaScript 
      let a = 5;
let b = "5";
console.log(a == b); // 输出:true

      在这里,a是一个数字类型,b是一个字符串类型。==运算符会尝试将b隐式转换为数字类型,然后再进行比较,因此结果为true

2. 强比较(Strong Comparison)

  • 定义:强比较指的是在比较两个值时,不仅比较它们的值,还比较它们的类型。如果类型不同,即使值相同,比较结果也为false

  • 举例

    • 在JavaScript中,使用===运算符进行比较时,就是强比较。例如:

      JavaScript 
      let a = 5;
let b = "5";
console.log(a === b); // 输出:false

      在这里,a是一个数字类型,b是一个字符串类型。===运算符会同时比较它们的值和类型,因此结果为false
      简而言之,弱比较只在乎值是否相等,强比较在乎值和形式
      看题目,题目在告诉你上传一个弱比较,而且值不能等于1
      构建payload:  ?num=1a

      得到flag,这个题解出,得到flag。

wings_S3
关注
bugkuctf web 部分wp(自己看得懂)
LJW_wenjingli7的博客
12-15 2657
1.本地管理员 进入网址,查源码,异常的一串n,拉进度条看 == 是base64,解出test123 ,像密码。 这种未知的系统一般要爆破,随便填账号密码,连接代理,打开bp 右键发到repeater,去掉cookie请求,用XXF伪造请求IP,(能考虑到管理员可能是admin,直接省略改名)改user=admin,发送即可 **XXF: X-Forwarded-For:(HTTP的请求端真实的IP) 如题中的:X-Forwarded-For:127.0.0.1 XFF注入..
BUGKU-WEB
wojiushilsy的博客
02-22 623
5.矛盾 打开链接,内容如下: $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } is_numeric():检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。(注意是只包括数字) 要求我们不能输入纯数字1,但是num...
bugku web wp
Wei_xino的博客
10-12 476
写在前面: 简单步骤不再复现,只是再复习一下知识点,可以挖深一点。 web2 F12 计算器 F12改html $get $post ? & hackbar 矛盾 很多解法 1加一个符号就行了 web3 F12,发现一串密文,Unicode解码 域名解析 我们百度这个是什么意思 是把域名解析到一个IP地址,然后在此IP地址的主机上将一个子目录与域名绑定。 互联网中的地址是数字的IP地址,...
wp-bugku-矛盾
key_nothing的博客
03-11 279
打开连接得到几行代码 要求num不是数字,并且num等于1. 这道题考察php不会判断两边的表达式类型; (PHP 支持 >(大于),>=(大于等于),(等于),!=(不等于),<(小于),<= (小于等于)。PHP 还支持全等运算符 =(值和类型均相同)和非全等运算符 !(值或者类型不同)。) 所以构造的num值1d(d可以是任意字符) ...
bugku 部分web wp
IM_222的博客
02-13 307
打开网页弹出的全是滑稽脸,检查源代码,可以直接找到flag
BugkuCTF wp
lnjoy
02-11 1085
MISC 签到题 扫码关注微信公众号即可获得flag 这是一张单纯的图片 用UE打开如图,在ascii码最下面发现一串编码,发现是字符实体编码。 https://www.qqxiuzi.cn/bianma/zifushiti.php 网站在线解码可得flag 隐写 打开图片,先用stegsolve跑一边没有发现什么,LSB也没有什么,用UE打开也没有什么奇怪的。用binwalk跑一边,没有隐藏文...
bugku web部分 wp
qq_49354488的博客
10-24 1841
文章目录MD5解密输入长度限制绕过第一个if判断正则匹配数组绕过堆叠注入暴力破解暴力破解验证码绕过绕过前端验证暴力破解BugkuCTFWEB 2计算器web基础$_GETweb基础$_POST矛盾WEB 3域名解析你必须让他停下本地包含变量1web 5头等舱网站被黑管理员系统WEB 4flag在index里输入密码查看flag点击一百万次备份是个好习惯成绩单秋名山老司机速度要快Cookie欺骗never give upwelcome to bugkuctf过狗一句话字符?正则?前女友(SKCTF)login
bugku web题 wp
weixin_43404488的博客
12-01 498
** web 2 你必须让他停下 ** 打开网页,扑面而来的滑稽表情, web第一步,先看源代码 意外结果,源码中获得flag; 计算器 随机码计算器,难道这么简单?输入答案试一下 179 尴尬了,实际发现,只能输入1位, 想到可能作者在源码中做了手脚,限制了长度 看一下源码; 果然,在源码中发现,输入的最大格式被限制为 1; 改一下; 改成我们想要的 再输入试一下 web基础$_...
BugKu Web篇通关wp
python_LC_nohtyp的博客
09-08 1223
BugKu Web篇通关wp 文章目录BugKu Web篇通关wp0x01 WEB20x02 计算器0x03 web基础$_GET0x04 web基础$_POST0x04 矛盾0x05 WEB3 0x01 WEB2 没啥好说的直接F12打开控制台,找到Flag 过! 0x02 计算器 需要计算64+65的结果,F12打开控制台,发现 修改为10,就可以输入了,得到flag过! 0x03 web基础$_GET 简单的get传参,直接通过url传参即可 0x04 web基础$_POST 类似get的操
BugkuCTF-Web-矛盾
烟雨天青色
12-09 999
打开解题链接之后,同样是这么熟悉的几行代码,那这段代码是啥意思呢? 从这段php代码中能够读出判断获取的是否是数字,然后获取值是否为1,百度了一下php判断字符串以1开头即可判断等值,于是构造num=1,然后再自己随便够造一个字符串flag表示拼接字符串,即可获取flag 这个题的解题关键点在于理解链接里面的代码的含义,理解透了含义之后才能根据意思来拿flag。...
Bugku-杂项-隐写(WP
我还在的博客
09-14 4868
0x00 说明 这是Bugku的杂项中一道标明隐写的题目。 0x00 思路 下载图片打开后发现图片好像并没有展示完全,所以考虑使用FlexHex工具。 1. 第一步,将图片拖进FlexHex工具。 根据图片格式,我们发现图片的宽与高有矛盾。 2. 第二步:更改不合尺寸。 将A4改成F4,再保存图片。 3. 第三步:打开已经保存的图片。 打开后我们就会发...
bugku CTF题
qq_46116117的博客
04-06 1105
web题 矛盾: !is_numeric()函数: 用于检测变量是否为数字或数字字符串 如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE 需要num不为数字字符串或者数字,但num=1; 则,num=1*e0.1或num=1x,x为任意字符 web3 查看源代码得 <!--&#75;&#69;&#89;&#123;&#74;&#50;&#115;&#97;&#52;&#50;&#97;&
BugkuCTF(Web) WriteUp
CallMeSa1tyFish的博客
08-06 6227
Web部分 web2 点开以后发现是满屏的滑稽,按照国际惯例,查看源代码发现flag 文件上传测试 用burp抓包修改文件名后缀为.php 计算器 修改最大长度限制 web基础$_GET 题目如下 $what=$_GET['what']; echo $what; if($what=='flag') echo 'flag{****}'; 直接输入?what=fla...
CTF平台题库writeup(二)--BugKuCTF-WEB(部分)
渗透、攻防、CTF、编程
06-26 4341
web2 flag在源码的注释里 计算器 改一下text文本框的最大输入位数>1即可 web基础$_GET GET方式传参即可 web基础$_POST post方式传参即可 矛盾 $num=$_GET['num']; if(!is_numeric($num)) { echo $num; if($num==1) echo 'flag{**********}'; } 这题要求传参num不能是数字,而且num=1,一开始没有什么思路,认为是弱类型的绕过,传了true进去,发现无效,问
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8697
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
1.金融风控知识与架构介绍.ipynb
最新发布
05-17
1.金融风控知识与架构介绍.ipynb
基于Plecs仿真的全桥PSFB+ZVS技术参数研究与应用案例 电力电子
05-17
内容概要:本文详细探讨了基于Plecs仿真的全桥移相全桥变换器(PSFB)结合副边同步整流(ZVS)的技术参数研究及其应用案例。文章首先介绍了系统的配置,重点在于确保驱动时序对齐以及优化移相角来实现ZVS。接着讨论了同步整流的关键点,即精确控制副边开关管的驱动时序以避免反向导通的问题。随后提供了参数调整的具体方法,如改变变压器匝比、计算合适的电感值以及选择适当的散热材料。最后分享了一些常见的仿真问题解决方案,比如处理震荡尖峰和轻载情况下的ZVS失效。同时推荐了几款实用的仿真工具和相关文献供进一步学习。 适合人群:从事电力电子设计的专业人士,特别是那些希望深入了解PSFB和ZVS技术的研究人员和技术工程师。 使用场景及目标:适用于需要进行高效电源转换设计的场合,旨在帮助读者掌握PSFB和ZVS的工作原理,提高电路性能,降低损耗并优化系统参数。 其他说明:文中提供的代码片段和参数设定均为实际仿真过程中积累的经验,对于初学者来说是非常宝贵的参考资料。此外,还提到了一些常见错误及其解决办法,有助于减少开发过程中的障碍。
基于指标预测与对比的我国“双一流”高校专利转化潜力研究.zip
05-17
基于指标预测与对比的我国“双一流”高校专利转化潜力研究.zip
插秧机系统设计.rar
05-17
插秧机系统设计.rar
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值