【网络安全/CTF】easyphp 江苏工匠杯

秋说2023-12-29 23:53

本题考察PHP语言相关绕过知识

正文

开门见山给代码

php 复制代码 
 <?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

?> Emmm...

考察代码分析能力,看最后一个if:

php 复制代码 
if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

也就是说,当key1、key2为1时即可文件包含Hgfks.php,那么接下来的思路就很简单了。

1.get传参a,满足isset($a) && intval($a) > 6000000 && strlen($a) <= 3,则a为2e9即可

2.get传参b,满足isset($b) && '8b184b' === substr(md5($b),-6,6)

substr(md5($b),-6,6)用于提取b经过 MD5 加密后的字符串的最后 6 个字符,也就是说这6个字符要等于8b184b,首先想到的是将8b184b进行md5解密,再赋值给b。而md5是不可逆算法,故此法失效。

php的强比较利用环境一般为:

复制代码 
md5($a)===md5($b)

在这里也行不通

因此可以写一个脚本,通过遍历b并且做判断(这里判断b为纯数字)

故b为53724即可

3.再看参数c的要求:

php 复制代码 
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }

get传参经过json编码的c,且c为数组,数组c中的值m不是数字且m>2022;数组c中的值n为数组、数组n有两个元素且第一个元素也是数组。

对于m,当PHP中进行数字与字符的比较时,字符的前缀数字会被保留,即

复制代码 
33<34php=34

所以将m赋为2023v即可,而对于n,即可写成n[[x],y]的形式

php 复制代码 
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;

表示在n中查找为DGGJ的元素,找不到就终止脚本

利用当函数接入不符合类型,则返回0的特性,将n改为

复制代码 
n[[x],0]

如果找到DGGJ,也终止脚本,将n中的数组改为任意不是DGGJ的元素即可:

复制代码 
n[[1],0]

最后将c进行json编码即可

传参得到flag:

附言

在处理

c 复制代码 
isset($b) && '8b184b' === substr(md5($b),-6,6)

时,可以使用PHP循环及Python脚本得到变量b,代码在:
【网络安全 | MD5截断比较】PHP、Python脚本利用 | CSDN秋说

相关推荐
DevSecOps选型指南4 小时前
2025软件供应链安全最佳实践︱证券DevSecOps下供应链与开源治理实践
网络·安全·web安全·开源·代码审计·软件供应链安全
ABB自动化4 小时前
for AC500 PLCs 3ADR025003M9903的安全说明
服务器·安全·机器人
恰薯条的屑海鸥4 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十六期-SSRF模块)
数据库·学习·安全·web安全·渗透测试·网络安全学习
阿部多瑞 ABU5 小时前
主流大语言模型安全性测试(三):阿拉伯语越狱提示词下的表现与分析
人工智能·安全·ai·语言模型·安全性测试
网安INF6 小时前
CVE-2020-17519源码分析与漏洞复现(Flink 任意文件读取)
java·web安全·网络安全·flink·漏洞
lubiii_7 小时前
墨者学院-密码学实训隐写术第二题
web安全·网络安全·密码学
moongoblin8 小时前
行业赋能篇-2-能源行业安全运维升级
运维·安全·协作
Fortinet_CHINA8 小时前
引领AI安全新时代 Accelerate 2025北亚巡展·北京站成功举办
网络·安全
这儿有一堆花9 小时前
安全访问家中 Linux 服务器的远程方案 —— 专为单用户场景设计
linux·服务器·安全
上海云盾第一敬业销售12 小时前
高防IP可以防护什么攻击类型?企业网络安全的第一道防线
网络·tcp/ip·web安全
热门推荐
01【图像处理与机器视觉】XJTU期末考点02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07Coze扣子平台完整体验和实践(附国内和国际版对比)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10坚果投影仪J10如何用苹果Siri开关机并和米家联动