Web89
正则匹配,类型转换
源码
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if(preg_match("/[0-9]/", $num)){
die("no no no!");
}
if(intval($num)){
echo $flag;
}
}
intval() 函数用于获取变量的整数值
这里主要是这个函数
if(preg_match("/[0-9]/", num)) 用正则表达式匹配输入值 num,如果存在数字,则返回错误信息 "no no no!" 并终止程序。
Intval() //这个函数是类型转换,也就是转为整形
类型转换点击前往
因此num满足以上即可输出 flag.php
/?num[]=1
web90
进制转换绕过
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if($num==="4476"){
die("no no no!");
}
if(intval($num,0)===4476){
echo $flag;
}else{
echo intval($num,0);
intval() 函数是 PHP 中的一个内置函数,用于将给定的变量转换为整数。它的语法如下:
intval ( mixed $var , int $base = 10 ) : int
其中,第一个参数 $var 是要转换为整数的变量,可以是字符串、浮点数、布尔值等,第二个参数 $base 是可选的,表示要转换的进制数,默认为十进制。
例如:
$num1 = 123.45;
$num2 = "678.90";
$num3 = true;
$num4 = "0x1a";
$num5 = "010";
echo intval($num1); // 输出 123
echo intval($num2); // 输出 678
echo intval($num3); // 输出 1
echo intval($num4, 16); // 输出 26(将 0x1a 转换为十进制)
echo intval($num5, 8); // 输出 8(将 010 转换为八进制)
主要还是数据类型转换第一个参数 $num 是需要转换的变量,第二个参数 0 是 转换成十进制,又要包含十进制为4476,那就是绕过这个准换之后的十进制呗
if(intval($num,0)===4476){
将变量num转为整形
最后,如果变量num既不是字符串"4476",也不能被解析为整数4476,则输出变量num既不是字符串"4476",也不能被解析为整数4476,则输出变量num的整数值。
那就是在上面基础之上payload如下:
/?num=0x117c ;同理也可以是十进制的4476//后面任意字母都可以,就是满足不等于 4476; 那八进制的4476是。10574这里前面要加一个0也就是010574
在计算机中,通常采用0x前缀来表示一个数值是十六进制数。加0是八进制,这个前缀可以帮助区分不同进制的数值,特别是在像C、C++、Java等编程语言中,可以避免误解成其他进制。
Web91
正则匹配多行绕过%0a
show_source(__FILE__)
include('flag.php')
$a =$_GET['cmd']
if (preg_match('/^php$/im', $a)){
if (preg_match('/^php$/i', $a)){
echo 'hacker'
}
else {
echo $flag
}
}
else {
echo 'nonononono'
}
主要是以 php 作为开头结尾且不区分大小写、多行匹配,还要不能以 php 作为开头结尾(不区分大小写)
^ 表示匹配字符串的开始位置;php 表示要匹配的字符串是 "php";$ 表示匹配字符串的结束位置;/m 是一个模式修饰符,表示多行匹配;/i 是另一个模式修饰符,表示忽略大小写
也就是每行都进行匹配;URL的换行符是%0a,\n不起换行作用,因为URL编码中斜杠并不是转义字符,\n只是普通的字符串而已。
所以payload : /?cmd=%0aphp
利用多行匹配 :%0a
详细介绍该漏洞可前往: Apache HTTPD 换行解析漏洞(CVE-2017-15715)与拓展_Firebasky的博客-优快云博客
web92
弱类型比较==
include("flag.php")
highlight_file(__FILE__)
if (isset($_GET['num'])){$num = $_GET['num']
if ($num == 4476){
die("no no no!")
}
if (intval($num, 0) == 4476){
echo $flag
}else {
echo intval($num, 0)
和90差不多,使num=4476 数据类型转换为整型且是十进制的,不难发现与90少了一个等号,php是弱类型的语言;
===表示全等运算符,要求值相等且类型相等。==表示等于运算符,要求值相等(会临时的类型转化,进行若比较,所以===执行起来会比==快。
可以参照上面web90 /?num=0x117c ;’/?num=010574
web93
字母过滤,八进制绕过
和上面类似,不过是过滤了字母,那么数字可以,既是可以用八进制的010574;这里小数也可以用 /?num=4476.666
if ($num == 4476){
die("no no no!"); }
if (preg_match("/[a-z]/i", $num)){
die("no no no!");
web94
!strpos
if (isset($_GET['num'])){$num = $_GET['num'];
if ($num == ="4476"){
die("no no no!");}
if (preg_match("/[a-z]/i", $num)){
die("no no no!"); }
if (!strpos($num, "0")){
die("no no no!"); }
if (intval($num, 0) ===4476){
echo $flag;
这次是===全等运算符,那么必须是4476喽,字符是行不通了,那就试试小数,但是这句 if(!strpos($num, "0")){ ;意思是该函数用于查找字符串中是否包含某个字符串,也就是$num变量是否包含数字0,满足0不能出现在第一位,如果找不到,返回false,“!“感叹号的意思是取反逻辑,也就是true,变量中不包含0了
/?num= 空格010574 (加上空格) ;/?num=4476.0 (小数)
web95
小数点过滤 ,%09
if (preg_match("/[a-z]|\./i", $num)){
这里多了一个小数点
那可以用 /?num= 010574 等号后面第一个是空格 另外用%09和空格是一样的
还有一种是把空格换成+好也可以。
Web96
伪协议
经典的伪协议,得到的base解码就行
php://filter
/?u=./flag.php
/?u=/var/www/html/flag.php 二者都可以
web97
Md5绕过
include("flag.php")
highlight_file(__FILE__)
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag
else
print 'Wrong.'
}
?>
意思是a和B的不等,但是他的md5值相等
payload : a[]=i&b[]=kun
因为数组经过md5函数返回null,两个null强类型相等
php中的md5()
函数无法处理数组类型数据,对于数组类型数据返回NULL,当我们传入两个数组时,就会变成两个NULL,也就是NULL==NULL,成功绕过
更多md5比较 点击可前往