[BUUCTF] 极客大挑战 BuyFlag

最新推荐文章于 2023-02-08 14:11:13 发布
最新推荐文章于 2023-02-08 14:11:13 发布
阅读量1.5k 收藏 4
点赞数 4
CC 4.0 BY-SA版权
分类专栏: CTF WP 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43919144/article/details/105665700
本文解析CTF题目中利用PHP弱类型特性,通过构造特定payload绕过认证的过程。介绍is_numeric()函数及弱类型的原理,演示如何利用科学计数法和数组形式的money参数获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x1分析题目

像往常一样拿到题目后寻找有用的信息,在pay.php中看到了我们此次的目标
在这里插入图片描述有一个身份认证,还需要一个正确的密码。查看源码我们发现了一段代码:


	~~~post money and password~~~
if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}

审计一下,我们需要post password,然后通过is_numeric()函数的检测,如果password==404则输出正确。在这里提一下is_numeric()函数弱类型

0x2知识点

is_numeric()函数

检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。举几个例子: 123 ,12.3 ,+123这些都能返回true,但是如果字符串中含有别的符号或者字母则返回false。

PHP弱类型

PHP中有== 和 ===两种比较方法,前者比较之前会把等号两边的数据类型转换成相同的,后者在比较之前要先判断数据类型是否相同,我们称前者为PHP的弱类型,因为很容易发生“意外情况”。

var_dump("a"==0); //true;
var_dump("1a"==1); //true;
var_dump("a1"==1) //false;
var_dump("a1"==0) //true
以这几个为例,我们可以看到字符直接被转换成了0,如果字符前面有数字则字符串等于数字,这种弱类型经常出现在ctf的题中。

还有一个特殊一点的:
var_dump("0e123456"=="0e4456789"); //true
因为科学计数法0的任意次方都等于0,所以这种类型也相等。

0x3构造payload

回到题目,我们可以利用这两个知识点构造出password=404a,抓包后联想一下之前的身份验证,cookie改为1,把money=1000000000,最后post上去,并没有出flag,提示说money太长了,试一下科学计数法,money=1e9,出现了flag。

看了别人的wp之后发现这里money其实是用来strcmp()函数比较,这个也是经常碰到的,strcmp(a,b),如果a<b返回负数,如果a>b返回正数,如果a=b返回0。

但是!如果a,b的类型不匹配,它会报错返回0,这就很致命了,明明数据类型不匹配但是判定相等了,所以我们只要把money以数组的形式上传就好了。money[]=a,也能出现flag。
话不多说,上图!
在这里插入图片描述在这里插入图片描述结果是一样的。

ps:若有不足之处,欢迎大佬们及时斧正,感谢您的观看!

buuctf-web-buyflag
qq_51775369的博客
10-24 3176
打开网页,然后发现menu中有个buyflag的连接,点进去 如果你想买这个flag ,你必须是来自CUIT的一名学生,还必须回答正确的密码。简单了解,我们查看源码,发现思路 isset()函数是用来检验变量是否被设置的。 is_numeric()函数检测字符串是否只由数字组成,如果字符串中只包括数字,就返回Ture,否则返回False。 对于$password == 404,在PHP中==是一种弱类型比较,即只取字符串中开头的整数部分进行比较。 POST方...
BUUCTF__[极客挑战 2019]BuyFlag_题解
风过江南乱的博客
07-05 1108
BUUCTF__[极客挑战 2019]BuyFlag_题解 PHP弱类型和低版本PHP的`strcmp()`函数漏洞
BUUCTF-BuyFlag
z1moq的博客
09-13 748
启动靶场,发现提示,意为需要登录为其学生才能购买 直接抓包,发现有一个名为 user 的 cookie 既然0为未登录,改为1即可成为登录状态 登陆成功,但是提示需要输入密码 在源码中发现如下条件 ...
buuctf (buyflag)
ANYOUZHEN的博客
05-21 523
打开靶机后有个menu,点击里面的payflag看看 查看源代码看看 ~~~post money and password~~~ if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be number</br>"; }elseif ($password == 404) { ...
buuctf buyflag
weixin_44214568的博客
01-15 765
1.查看主页面的源代码没有什么特殊情况,点击主页面上的menu,有个pay flag,点击进入,查看源代码,有 看出来需要传参Money和password 2.贴出代码 if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be number</br>"; }elseif ($pa
BUUCTF [极客挑战 2019]BuyFlag
m0_63253040的博客
03-20 247
进入环境 页面右上角有个菜单,点击payflag,页面源代码里有一串php代码,这题是代码审计 意思让我们post两个变量money和password,并且提示 cuit指的是成都信息工程学,这里开始抓包去post 这里发现cookie里有个user=0,可能是要改成1,先不管等等看看 没有发现回显,我们把user=0改成user=1试试 显然user=1就意味这我们是成都信息工程学院的学生,但是提示我们数字长度太长了,改用科学计数法 这里看wp还有第二种方法,..
BUUCTF】web 之 [极客挑战 2019]BuyFlag
weixin_44164784的博客
04-13 820
简单分析 打开链接 随便翻翻 发现菜单中的 PAYFLAG 进去康康。 很明显 ,得到flag 需要 钱 & cuiter & password 具体操作: 抓包分析: 发现cookie user=0; 0可能说明否认,所以改成1重发得到 you are Cuiter Please input your password!! 接下来觉得密码问题 贴点网页源代码 404 但是不能...
buuctf-web(极客挑战2019)
qq_47804678的博客
02-08 417
于是用bp使用post方式,注意将user=0改成user=1(意思也就是:是cuit的学生为真。一开始我还改成了“cuit's students”。一共就两个页面,就都看一下,发现还有提示:必须是cuit的学生,还得写对密码。如果不加密直接返回的话,flag.php被解析后是看不到有flag的源文件的,所以只能加密然后用在线工具再进行解密得到源文件。bp抓包发现中间302跳转时给了另一个路径secr3t.php,尝试访问,F12找到隐藏的路径.Archive_romm.php,尝试访问,
[极客挑战 2019]BuyFlag 1
qq_43618536的博客
07-02 4091
BUUCTF的[极客挑战 2019]BuyFlag 1
buuctf-buyflag
m0_62094846的博客
11-13 699
翻了页面,看了源代码,都没什么信息 右上角有个MENU,点进去看看 Only Cuit's students can buy the FLAG 看到这句话可能就要伪造ip了 但还要回答密码,不知道什么意思,看看源代码 POST password=404a,抓包修改一下身份 user有点特别,应该是在这里检验身份 身份正确,但是要pay for flag 页面需要100000000 money,这应该是参数 数字太长了,用科学计数法,注意用e ...
buuctf [极客挑战 2019]BuyFlag
qq_52671379的博客
05-09 1737
buuctf [极客挑战 2019]BuyFlag
buuctf web buyflag
qq_41696858的博客
09-11 387
打开场景,查看源码,发现a链接,pay.php打开目标页面查看源码,发现提示 <!-- ~~~post money and password~~~ if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be number</br>"; }elseif ($password == 404) { echo
BUUCTF-[极客挑战 2019]BuyFlag
qq_43006864的博客
01-20 2774
打开题目。 好像没啥,右上角发现个菜单按钮,点开看看。 看到中间写了。flag需要100000000money。 然后attention这里写着,如果你需要FLAG,你必须是一名叫cuit的学生,你必须正确回答password。然后继续查看源码,发现了这一段代码。 让我们post money和password。然后password不能为数字,然后password必须等于404才返回正确,那这里我们可以通过弱类型来找过,就是404后面加上字母。 抓包看..
buuctf buyflag wp
m0_55185160的博客
08-08 457
打开网页 点击menu旁的三条线, 可以看到flag需要100000000来buy,我们查看源代码 发现这段,通过代码审计后我们知道 通过post方式传参需要传money和password 如果password为404就可以通过。 但是我们传参后发现没有反应,于是我们抓包后发现cookie为0 于是把cookie给为1,并再次传参 结果回显说我们的数字太长, 于是我想到了之前学的科学计数法1000000000=1e9于是再次传参于是得到flag。 ...
BUUCTF [极客挑战 2019] BuyFlag
Senimo
10-14 496
BUUCTF [极客挑战 2019] BuyFlag 启动靶机,打开环境: 首页是安全小组的简介,在右上角Menu选择PAYFLAG 进入后看到获取flag的条件: 查看网页源码得到提示: ~~~post money and password~~~ if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be numb
buuctf极客挑战upload
最新发布
04-03
### BUUCTF 极客挑战 Upload 题目解题思路 #### 文件上传漏洞概述 文件上传是一种常见的Web功能,但也可能成为攻击者利用的安全隐患。如果未对用户上传的文件进行严格校验,则可能导致恶意脚本被执行,从而实现...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值