BUUCTF——WEB(7)

目录

[ACTF2020 新生赛BackupFile 1](#[ACTF2020 新生赛]BackupFile 1)

[极客大挑战 2019BuyFlag 1](#[极客大挑战 2019]BuyFlag 1)

ACTF2020 新生赛BackupFile 1

寻找文件,尝试目录扫描

发现index.php.bak

下载查看

复制代码
<?php
include_once "flag.php";		#include_once(文件引入函数),作用是把flag.php文件的内容加载到当前脚本中,且仅加载一次(避免重复引入导致变量 / 函数重复定义报错)。

if(isset($_GET['key'])) {		#判断变量是否存在且不为 null
    $key = $_GET['key'];		#把 URL 中传入的key参数值,赋值给本地变量$key
    if(!is_numeric($key)) {		#is_numeric(),作用是检测变量是否为数字或数字字符串
        exit("Just num!");		#如果用户传入的key不是数字 / 数字字符串(比如key=abc),脚本直接停止,输出 "Just num!"(意思是 "只能是数字!"),后续代码不再执行。
    }
    $key = intval($key);		#intval(),作用是把变量强制转换为整数类型
    $str = "123ffwsfwefwf24r2f32ir23jrw923rskfjwtsw54w3";
    if($key == $str) {
        echo $flag;
    }
}
else {
    echo "Try to find out source file!";
}

代码审计

核心语法==是 PHP 的松散比较 (弱类型比较),区别于===(严格比较,要求值和类型都相等)。

漏洞核心 :当用==比较整数字符串时,PHP 会自动把字符串转为整数后再比较,转换规则是 "提取字符串开头的连续数字,直到遇到非数字字符为止"。

本例中$str是字符串,转整数的结果是123(只取开头的 123,后面的字母忽略);

只要$key(整数)等于 123,$key == $str就会返回 true

极客大挑战 2019BuyFlag 1

f12查看网页源码,发现一个文件地址,其他没有发现

跳转访问

页面提示说必须是CUIT学生

cookie代表身份标识,在编程中0代表假,1代表真, 所以猜测这里的user对应的数值代表是不是CUIT学生

f12查看源码

post传参需要password和money两个参数

money

传参money=100000000时长度过长

改用科学计数法输入money=1e10

password

复制代码
<!--
	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {		#检测变量是否为数字 / 数字字符串
		echo "password can't be number</br>";		#比如404、"404"、404.0、"404.0"都返回true,输出密码不能是数字
	}elseif ($password == 404) {		#password 不是数字 / 数字字符串 "404a"、"a404"返回false
		echo "Password Right!</br>";	#密码正确
	}
}
-->

burpsuite抓包,修改访问方式

要求 password不是数字 / 数字字符串,但又要求和整数 404 相等。利用弱类型比较可轻松绕过,具体方法:

  • 提交 POST 参数password=404a(或404abc404.0a等)

  • 验证过程:

    • is_numeric("404a")false(不是纯数字 / 数字字符串),跳过第 6 行;

    • "404a" == 404 → PHP 把字符串转成整数 404,比较结果true

    • 最终输出 "Password Right!"

关键漏洞是==弱类型比较:非数字字符串只要开头是 404,转整数后就等于 404,可绕过is_numeric的限制;

$password = "404a" → 转整数是 404 → "404a" == 404→ true;

$password = "404abc123" → 转整数是 404 → 比较结果true;

$password = "a404"→ 转整数是 0 → 比较结果false

因此传入password可为"404a

也可以使用cookies结合hackerbar来做

相关推荐
其实防守也摸鱼18 小时前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
云水一下1 天前
DVWA从入门到精通(十七):Open HTTP Redirect(开放重定向)
web安全·dvwa·开放重定向
学逆向的1 天前
汇编——数据存储模式
开发语言·汇编·网络安全
阿米亚波1 天前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
txg6661 天前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
Chengbei111 天前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
2301_780303902 天前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
学逆向的2 天前
汇编——内存
开发语言·汇编·算法·网络安全
技术不好的崎鸣同学2 天前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全
dehuisun2 天前
等保2.0实施方案
web安全