ctf show web入门107

这是一道典型的 PHP 代码审计 CTF 题目。核心考点在于 parse_str() 函数的变量覆盖漏洞 以及 PHP 的弱类型比较(==)或 MD5 碰撞。

其中最关键的代码是

php 复制代码
$v1 = $_POST['v1'];
$v3 = $_GET['v3'];
parse_str($v1, $v2);
if($v2['flag'] == md5($v3)) {
    echo $flag;
}

突破点:parse_str(v1, v2)parse_str() 的作用是将查询字符串解析到变量中。由于传入了第二个参数 v2,它会把 v1 解析后的结果存入 $v2 数组中。

因为 v1 是我们可以通过 POST 完全控制的,这意味着我们可以任意控制 v2 数组内部的键值对。我们的目标是让 v2′flag′等于md5(v2'flag' 等于 md5(v2′flag′等于md5(v3)。2. 难点:v2′flag′==md5(v2'flag' == md5(v2′flag′==md5(v3)注意这里使用的是 ==(弱类型比较),而不是 ===(全等比较)。

在 PHP 中,弱类型比较存在著名的 0e 漏洞:如果一个字符串以 0e 开头,且后面全都是数字,PHP 在进行 == 比较时,会将其视作科学计数法的数字,其值等于0*10=0。

如果两个不同的字符串经过 MD5 加密后都变成了 0e 开头的纯数字字符串,那么它们在 == 比较时都会被认为是 0,从而判定为相等。

针对这个逻辑,有两种构造 Payload 的方向:

方法一:利用 MD5 弱类型碰撞(推荐,最标准做法)

我们可以找一个经过 MD5 加密后变成 0e 开头且后面全为数字的字符串作为 v3。

常用的 0e 字符串:QNKCDZO

md5('QNKCDZO') 的结果是:0e830400451993494058024219903391

在 PHP 弱类型眼里,这个值等于 0。

构造规则:

令 v3 = QNKCDZO。此时 md5($v3) 的值在弱类型比较中等于 0。

我们需要让 $v2'flag' 在弱类型比较中也等于 0。最简单的办法就是直接让它等于另一个能触发 0e 漏洞的字符串(比如 240610708,其 MD5 也是 0e 开头),或者直接让它等于数字 0。

最终 Payload 构造:

GET 请求(放在 URL 后面):

?v3=QNKCDZO

POST 请求(放在 Body 中):

v1=flag=0 或者 v1=flag=QNKCDZO

(解释:parse_str("flag=0", v2) 会让 v2'flag' 变为 0。比较时 0 == "0e830..." 成立)

方法二:利用数组绕过 md5()

PHP 的 md5() 函数有一个特性:它无法处理数组。如果传入一个数组,md5() 会返回 NULL 并报一个警告,但程序不会奔溃。

如果我们让 v3成为一个数组,那么md5(v3 成为一个数组,那么 md5(v3成为一个数组,那么md5(v3) 的结果就是 NULL。

接着我们让 $v2'flag' 也为 NULL 或者为空,那么 NULL == NULL 就会成立。

最终 Payload 构造:

GET 请求:

?v3\[\]=1 (通过 \[\] 让 v3 变成数组)

POST 请求:

v1=flag= (留空,让 $v2'flag' 解析为 null 或空字符串)

最后得到flag为:ctfshow{0a33a620-3688-477b-b2bb-376e477d413b}

相关推荐
光影少年15 分钟前
react navite 跨端核心原理
前端·react native·react.js
monologues18 分钟前
Vue 3 渲染器的核心秘密:从 VNode 创建到快速 Diff 算法
前端
奇奇怪怪的19 分钟前
从开发到生产——生成优化、监控、安全与成本
前端
10share19 分钟前
100行代码 模拟实现Vue 响应式系统
前端·vue.js
Heo20 分钟前
Vite进阶用法详解
前端·javascript·面试
雨白31 分钟前
指针与数组的核心机制
android
狂炫冰美式1 小时前
人均配了AI, 为什么公司还是没变快? 🤔 本质还是分布式系统问题
前端·后端·架构
乘风gg2 小时前
多 Agent 不是万能的!搞懂这 5 个原则,少走 1 年弯路!
前端·agent·ai编程
猩猩程序员2 小时前
Vercel 推出 Agent 框架 Eve:让 AI Agent 像写 Web 应用一样简单
前端
爱读源码的大都督3 小时前
Claude Code源码分析(三):为什么系统提示词中需要有tools呢?
前端·人工智能·后端