打开网页,查看源码,看到
<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') -->
说明用户名需要加密之后为0。
对于PHP的==号,在使用 == 运算符对两个字符串进行松散比较时,PHP会把类数值的字符串转换为数值进行比较,如果参数是字符串,则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值。比如: '3' == '3ascasd'结果为true。
这几个在加密之后第一个数字为0:240610708,aabg7XSs,aabC9RqS 。
随便提交一个之后,出现/user.php?fame=hjkleffifer。
于是我们进入这个网页看到
意思就是将password反序列化之后,
$data_unserialize['user'] == '???' && $data_unserialize['pass']=='???'
而且下面的文字也提示是布尔,又bool类型的true跟任意字符串可以弱类型相等。因此我们可以构造bool类型的序列化数据 ,无论比较的值是什么,结果都为true。
这是php代码:
<?php
$test='';
$test=array('user' => true,'pass'=>true );
print(serialize($test));
?>不能让'user'=>'???','pass'=>'???',这样是错误的。
709
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
