攻防世界: simple_php
- 访问网页,可以看到源码部分如下
php
<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
echo $flag1;
}
if(is_numeric($b)){
exit();
}
if($b>1234){
echo $flag2;
}
?>这里可以简单了解下php相关的知识:
松散比较 (
==) 的类型转换当字符串与数字使用
==比较时,PHP会尝试将字符串转换为数字。
"0" == 0→true(字符串"0"转为数字0)
到布尔值的隐式转换 (
if($a))在
if、and、or等布尔上下文中,值会被自动转换为true或false。这里我的第一想法是让a='0',这样在比较相等的时候是相等的,但是非空字符串为true.
is_numeric()函数的行为它判断一个变量是否是数字或数字字符串,但比较严格:
- 返回
true:1234、"1234"、"-123.4"、"1e4"、"0x4d2"(十六进制)- 返回
false:"1234abc"、"1234 "(尾部有空格)、"abc"、NULL
字符串与数字的
>比较当字符串与数字进行大小比较时,PHP的行为是:
- 尝试将整个字符串转换为数字。
- 转换规则:从左到右读取,直到遇到第一个非数字字符(小数点除外)为止,将读取到的数字部分作为转换结果。
- 如果字符串不是以数字开头 ,则转换结果为
0。
- 构造数据,根据前面的规则,我构造了下面的数据
a='0' (实际上是 a=0):
'0'是一个字符串。在$a==0的松散比较中,PHP会将字符串'0'转换为数字0,条件成立。- 同时,字符串
'0'本身在if($a)的布尔判断中,它不为空且不是假值字符串 ,因此也为true。(在PHP中,只有字符串''和'0'会被认为是布尔假,但这里作为整体条件$a是存在的,所以为真。) - 因此满足
$a==0 and $a,触发echo $flag1;。
b=1235a:
'1235a'是一个以数字开头的字符串。is_numeric('1235a')会返回false,因此不会执行exit()。- 在
$b>1234的比较中,PHP会将字符串'1235a'强制转换为数字,取开头的1235进行比较,1235 > 1234成立。 - 因此触发
echo $flag2;。
成功拿到数据!