这是一个经典的 PHP 弱类型与函数特性绕过的 CTF 题目。我们的目标是让代码执行到 echo $flag;,也就是需要同时满足两个条件。
下面为你梳理详细的解题思路:
我们需要分析接收参数 $num 后的逻辑控制流:
if($num==="4476"){
die("no no no!");
}
含义:使用强等于 === 校验。如果传入的 $num 严格等于字符串 "4476",程序直接终止。
策略:我们传入的值绝对不能是普通的 "4476"。
if(intval($num, 0)===4476){
echo $flag;
}
含义:使用 intval($num, 0) 处理后,其整数值必须严格等于整数 4476。
关键点:注意 intval 的第二个参数是 0。当 base 为 0 时,PHP 会根据字符串的前缀来自动检测并转换进制:
如果字符串以 0x 或 0X 开头,视为十六进制。
如果字符串以 0 开头,视为八进制。
如果字符串是正常的数字,视为十进制。
- 解题思路(绕过方法)
要同时满足**"不等于字符串 '4476'"但"整数转换后等于 4476"**,有以下几种常见的绕过技巧:
方法一:八进制绕过(推荐)
将十进制的 4476 转换为八进制。因为 intval($num, 0) 中基数为 0,当我们传入以 0 开头的八进制字符串时,它会将其自动转为十进制的 4476。
Payload 1:?num=010574
方法二:十六进制绕过
将十进制的 4476 转换为十六进制。
4476 的十六进制是 117c。
在 PHP 中,以 0x 开头会被识别为十六进制。
Payload 2:?num=0x117c
方法三:数字+字符串绕过(PHP 弱类型特性)
intval() 函数在转换非标准数字字符串时,会从左往右读取,直到遇到非数字字符为止。
例如,intval("4476a") 的结果就是 4476。
由于 "4476a" === "4476" 为 false,可以完美绕过第一个 if。
Payload 3:?num=4476a 或 ?num=4476.5
方法四:正负号或空格绕过
添加正号:" +4476" 强等于校验不通过,但 intval() 转换后依然是 4476。
Payload 4:?num=+4476 或 ?num= 4476%20
