CTFShow-php特性(89-97)

最新推荐文章于 2025-11-24 04:43:01 发布
原创 最新推荐文章于 2025-11-24 04:43:01 发布 · 1.1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言 #网络安全 #安全

前置

遍历文件类

filesystemiterator

遍历目录类

directoryItrerator

reg_match函数介绍

  • preg_match()是 PHP 中的一个强大的正则表达式匹配函数。它用于在一个字符串中搜索匹配给定正则表达式模式的内容。如果找到匹配项,它可以返回匹配的次数(通常为 1,因为preg_match()在第一次匹配成功后就会停止),并可以通过可选的参数获取匹配的内容。

  • preg_match当检测的变量是数组的时候会报错并返回0。

intval函数介绍

  • intval()函数是 PHP 中的一个内置函数。它的主要作用是获取变量的整数值。例如,如果有一个包含数字的字符串或者一个浮点数,intval()函数可以将其转换为整数。

  • 基本语法是intval ( mixed $var, int $base = 10 ),其中$var是要转换的变量,$base是可选参数,用于指定转换的进制,默认是十进制。

  1. 参数解释

    • $var 参数

      • 这个参数可以是多种数据类型。如果是字符串,函数会从字符串的开头提取整数部分。例如,intval("123abc")会返回123。如果字符串是以非数字字符开头的,如intval("abc123"),则会返回0

      • $var是浮点数时,intval()函数会将小数部分截断,只保留整数部分。比如intval(3.14)会返回3

      • 如果$var是布尔值,true会被转换为1false会被转换为0

      • 对于数组或对象,intval()函数会先尝试将其转换为字符串,再按照字符串的规则进行转换。通常会返回0,除非数组或对象在转换为字符串时有特殊的规则可以生成以数字开头的字符串。

    • $base 参数

      • $var是一个字符串,并且这个字符串表示一个数字的时候,可以指定$base来转换进制。例如,intval("10", 2)会将二进制的10转换为十进制,结果是2$base参数的取值范围是从236,其中2表示二进制,10表示十进制,36表示三十六进制。

Web89

preg_match 正则匹配函数

preg_match当检测的变量是数组的时候会报错并返回0。

intval 获取变量整数值

而intval函数当传入的变量也是数组的时候,会返回1

参数1 获取的值

参数2 获取整数的进制类型 2 8 10 16

Payload

?num[]=a

Web90

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:06:11
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
​
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

intval($num,0)

  • 当第二个参数(进制基数)为0时,intval()函数会根据$num的前缀自动判断进制。如果$num0x0X开头,那么它会被当作十六进制数进行转换;如果以0开头(但不是0x0X),则会被当作八进制数进行转换;如果没有这些前缀,就会被当作十进制数进行转换。

绕过方法有多种:

  1. 字符串:4476 后面接入任意字符串 因为该函数只会截取字符串中数字。

  2. 其他进制:可以使用8进制 010574,16进制 0x117C

  3. 科学计数法:4476.0

Web91

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:16:09
# @link: https://ctfer.com
​
*/
​
show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}
第一个判断:if(preg_match('/^php$/im', $a))

  • 正则表达式模式'/^php$/im'

    • ^:表示匹配字符串的开头。这意味着要匹配的内容必须从字符串的起始位置开始符合后续的模式要求。

    • php:就是要精确匹配的文本内容,这里希望在字符串中找到的就是 “php” 这三个字符。

    • $:表示匹配字符串的结尾。即匹配的内容必须到字符串的末尾位置都是符合前面模式要求的,也就是说整个字符串只能是 “php” 这三个字。

    • i:是一个正则表达式的修饰符(flag),它使得匹配过程忽略大小写。所以无论是 “php”、“PHp”、“PhP” 等各种大小写组合形式,只要是这三个字符组成的字符串,都能满足该模式在大小写方面的要求。

    • m:也是一个正则表达式的修饰符,它用于多行模式匹配。不过在这个具体的正则表达式中,由于我们只是要匹配整个字符串是否为 “php”,多行模式在这里实际上并没有起到特别的作用(如果是在匹配跨多行的文本内容且有相关匹配需求时,m 修饰符会更有用)。

而第二个判断却少了m参数,所以推测可能是换行绕过

整体逻辑如下:

  1. 第一个if判断字符串中有没有php字符,正则匹配的模式是 “从头到结尾不区分大小写同时匹配多行”

  2. 第二个if也是如上,但是没有参数m(匹配多行)

  3. 所以先输入随机字符串 xxxx然后输入换行符%0A最后输入PHP

  4. 这样第一个if会匹配到换行后的php,而第二个if却无法匹配到 导致绕过

URL换行符%0A

Payload

?cmd=xiao%0Aphp

Web92

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:29:30
# @link: https://ctfer.com
​
*/
​
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

这一关与90关的唯一不同就是在等于号上!

90关的等于号是=== 代表必须一模一样(包括类型,内容)

而本关的等于号是== 代表不用必须一模一样(包括类型,内容)只要有就行

绕过方法:

  • 八进制、十六进制绕过

  • payload:?num=0x117C

Web93

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:32:58
# @link: https://ctfer.com
​
*/
​
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(intval($num,0)==4476){
        echo $flag;
    }else{
        echo intval($num,0);
    }
}

照比上一关多了一个,不能使用字母

不用就不用!(¬︿̫̿¬☆)

我用8进制绕过

payload:?num=010574

Web94

 <?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:46:19
# @link: https://ctfer.com
​
*/
​
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==="4476"){
        die("no no no!");
    }
    if(preg_match("/[a-z]/i", $num)){
        die("no no no!");
    }
    if(!strpos($num, "0")){
        die("no no no!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

呦呵!8进制和16进制都不能用了?

注意细节骚年:他这里等于号变成===全等于了,直接科学计数法绕过

payload:num=4476.0

Web95

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 16:53:59
# @link: https://ctfer.com
​
*/
​
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if($num==4476){
        die("no no no!");
    }
    if(preg_match("/[a-z]|\./i", $num)){
        die("no no no!!");
    }
    if(!strpos($num, "0")){
        die("no no no!!!");
    }
    if(intval($num,0)===4476){
        echo $flag;
    }
}

在8进制前面加个+

Web96

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 19:21:24
# @link: https://ctfer.com
​
*/
​
​
highlight_file(__FILE__);
​
if(isset($_GET['u'])){
    if($_GET['u']=='flag.php'){
        die("no no no");
    }else{
        highlight_file($_GET['u']);
    }
​
​
}

路径绕过比较

./flag.php

以下是来自AI的解答:

  1. 绕过原理

    • 松散比较机制: 在 PHP 中,当使用 == 进行比较时,会进行自动的类型转换以尝试使比较能够成功。对于字符串的比较,它不仅仅看字符串的字面内容,还会在一定程度上对字符串进行 “规范化” 处理后再比较。

    • 文件路径处理与比较: 当比较 $_GET['u'](假设其值为 ./flag.php)和 flag.php 时,在松散比较的规则下,PHP 会忽略掉 ./ 这样的相对路径表示部分。因为它主要关注的是文件名部分(这里都是 flag.php),经过这种自动的处理和比较逻辑,就会认为 ./flag.phpflag.php 是 “相等” 的,从而绕过了原本预期的判断,使得后续的 highlight_file($_GET['u']); 被执行,而不是输出 "no no no" 并终止脚本执行

Web97

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-18 19:36:32
# @link: https://ctfer.com
​
*/
​
include("flag.php");
highlight_file(__FILE__);
if (isset($_POST['a']) and isset($_POST['b'])) {
if ($_POST['a'] != $_POST['b'])
if (md5($_POST['a']) === md5($_POST['b']))
echo $flag;
else
print 'Wrong.';
}
?>

md5函数是无法处理数组的,如果传入了两个数组就会变成null,而null=null

a[]=1&b[]=2

php 正则英文名_PHP正则表达式 /i, /is, /s, /isU等介绍
weixin_39747399的博客
03-08 351
PHP正则表达式 /i, /is, /s, /isU等 都是些什么东西呢?i 不区分大小写s 模式中的圆点元字符(.)匹配所有的字符,包括换行符x 模式中的空白字符除了被转义的或在字符类中的以外完全被忽略,在未转义的字符类之外的 # 以及下一个换行符之间的所有字符,包括两 头,也都被忽略A (PCRE_ANCHORED) 如果设定了此修正符,模式被强制为“anchored”,即强制仅从目标字符串的...
php preg_match正则函数的使用注意
continue my dream
09-14 867
1、长度大小的限定(最好限制匹配的长度pcre.backtrack_limit变量,手动在php.ini设置,程序使用ini_set设置 ) 2、使用正则的过程中会消耗堆栈资源(最好限制) 3、为了避免出现服务器崩溃的情况(最好限制内存的大小)
PHP正则表达式
热门推荐
无痕之意的博客
09-11 3万+
一、正则表达式语法(Perl风格) 1、模式规则   /php/ 字符串前后加上两条斜杠即可 2、匹配函数    preg_match(‘/php/’,php)   参数1 模式   参数2 字符串 二、正则表达式中的元素 介绍   1、正则表达式中包含三种元素分别为:量词、元字符、修饰符   2、前导字符串:就是符号前面的一个字符或字符串 量词 ...
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 925
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
CTFshow-php特性
qq_61376069的博客
01-25 679
CTFshow入门—php特性。intval()函数、强比较;preg_match正则表达式匹配;strpos() 函数;MD5值比较绕过;php三元运算符;php运算符优先级
CTFshow-web入门-php-web89-150
m0_72655585的博客
07-17 1883
也就是说,当给intval()函数传入一个非空的数组时,intval()函数将会返回1,结合我们preg_match()传入数组返回false的特性,这道题的payload就很清楚了。在php中变量名只有数字字母下划线,被get或者post传入的变量名,如果含有空格、+、[则会被转化为_,所以按理来说我们构造不出CTF_SHOW.COM这个变量(因为含有.),但php中有个特性就是如果传入[,它被转化为_之后,后面的字符就会被保留下来不会被替换。system(‘FLASE’),空指令,失败返回FLASE。
CTFshow-特性web89-104题
qq_52579508的博客
08-12 402
第一个if 传入 num第二个if判断是不是数字 如果是就 die 结束第三个if intval函数preg_match当检测的变量是数组的时候会报错并返回0。而intval函数当传入的变量也是数组的时候,会返回1所以使用数组绕过?num[]=1。
ctfshow-web入门-89-115-php特性
2402_86944075的博客
03-17 681
要得到flag,传递一个num参数,这个参数不能包含数字字符,但经过intval转换后的值为真,用数组绕过,所以payload:?第二个if,使用intval($num,0)将$num转换为整数(以 0 为进制,意味着自动判断进制),如果转换后的整数严格等于4476,则输出flag;和上一题相比,将第一个===换成了==,变成了弱等于,并且过滤了 . 小数点,这里就不能用小数过滤了,用八进制,前面加个空格,空格在转换时会被自动去除。==比较的时候会进行类型转换,而===不进行类型转换,必须严格相等。
CTFSHOW-php特性
灰太的表格的博客
02-23 278
web89 intval():成功时返回 var 的 integer 值,失败时返回 0。 空的 array 返回 0,非空的 array 返回 1。 preg_match传数组返回为false payload:?num[]=a web90 ?num=0x117c web91 Apache HTTPD 换行解析漏洞(CVE-2017-15715) 正则表达式中的 $与^ apache这次解析漏洞的根本原因就是这个 $,正则表达式中,我们都知道$用来匹配字符串结尾位置,我们来看看菜鸟教程中对正则表达符$的
ctfshow---php特性
fainpo的博客
04-02 2267
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
PHP是一种广泛使用的服务器端脚本语言,常用于构建动态网页,因此,理解PHP语法和特性对于解决这类问题至关重要。 【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码...
[web安全学习] ctfshow-php特性总结
Y1seco的博客
07-30 1871
文章目录一. 常见php函数1. intval2. strpos3. is_numeric4. var_dump()5. call_user_func()函数5. parse_str6. strrev7.二. 常见绕过方法尝试添加加号+和空格进行绕过进制绕过采用伪协议绕过如:数组绕过三目运算符+变量覆盖PHP弱类型比较and与&&的区别+反射类ReflectionClass的使用绕过is_numericPHP变量覆盖ereg %00正则截断绕过正则FilesystemIterator类的使用
ctfshow-php特性系列
qq_45951598的博客
04-10 2558
文章目录WEB89-数组绕过WEB90-intval绕过WEB91-preg_match-换行绕过WEB92-科学计数法EWEb93WEB94WEB95WEB96WEB97-MD5绕过WEB98 WEB89-数组绕过 源码: include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){
Bagisto单独将后台设置成中文
CHINAHEAO的专栏
11-23 192
趣玩游戏 游戏礼包 [!--empirenews.listtemp--] [!--empirenews.listtemp--] 安卓app下载 苹果app下载×-->
QoS质量配置
2509_94007099的博客
11-20 664
当自定义排队在某个接口上生效的时候,系统将会为这个接口维护17个输出队列。你可 以指定队列1到16。与每一个输出队列相关的是可配置字节总数以及数据包的类型。可 配置字节总数指定在系统移动到下一个队列以前,系统应当从当前的队列中发送多少字 节的数据。编号为0的队列是一个系统队列;在任何编号为1到16之间的队列得到处理以前,编号 为0的队列将先被清空。系统把优先权级别高的数据包,例如保持活动数据包以及信令 数据包,安排到这个队列。其他的通信不能够使用这个队列。
【HTML+CSS】使用HTML与后端技术连接数据库
最新发布
2509_94007310的博客
11-24 375
HTML负责构建网页的骨架,提供用户交互的表单等元素。用户通过表单输入数据,并通过表单的提交(submit)事件将数据发送到后端。
华为OD机试真题精讲:电脑病毒感染(Python/Java/C++多语言实现)
weixin_50859396的博客
11-20 106
摘要:题目模拟电脑病毒在网络中的传播过程,给定电脑数量、连接关系和初始感染列表,计算不超过k轮传播后的感染总数(k=-1时计算全部可达电脑)。核心解法为使用邻接表表示无向图,通过BFS层次遍历实现病毒传播轮次控制,用visited数组标记感染状态和轮数。Python/Java实现均需处理大数据量(n≤1e5,m≤2e5),时间优化至O(n+m),空间O(n)。边界条件包括k=0、网络不连通等情况。
微信小程序图片上传系统性能优化实践
cozy666的博客
11-20 330
1. 大尺寸图片压缩卡住 - 当用户上传高分辨率图片(如4368×5824像素)时,压缩过程一直显示"压缩图片中"且无响应。2. 渐进式降级 :在资源受限情况下自动降低处理质量,保证基本功能。原始压缩逻辑对大尺寸图片处理效率低,没有超时机制和性能优化措施。文件系统操作缺乏空间检查和自动清理机制,导致频繁触发存储限制。3. 主动防御机制 :预防性空间检查和自动清理,避免问题发生。4. 性能优化 :简化处理逻辑,添加超时控制,优化资源利用。- 大尺寸图片不再卡住,超时后自动使用原图。
12345W
2501_91992196的博客
11-20 604
交换机的核心作用是“把帧精准发给目标设备”,但广播帧没有“特定的目标MAC地址”(目的MAC是 FF-FF-FF-FF-FF-FF ,代表“发给所有设备”)——所以交换机收到广播帧后,会默认把它转发到除了“接收这个帧的端口”之外的所有其他端口,目的是让广播域里的所有设备都能收到这个广播(比如ARP请求这类需要所有设备响应的帧,就需要靠这个规则传播)。简单来说:交换机“收到广播就转发”是为了让所有设备收到广播,但网络环路让这个“一次性转发”变成了“无限循环转发”,才会出现“接着广播”的情况。
ctfshow php特性
08-06
引用提到了"ctfshow-php特性-超详解(干货)",它是一篇关于ctfshow php的博客文章。引用和引用则展示了两段关于ctfshow php特性的代码。其中引用是一段关于RCE(远程代码执行)的代码,而引用是一段关于反射类和命令执行的代码。这些引用都提到了ctfshow php特性,但并没有详细说明这些特性是什么。由于没有更多的上下文信息,我无法提供更详细的答案。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值