攻防世界-web-新手练习区(5)-simple_php

最新推荐文章于 2025-07-20 11:30:00 发布
最新推荐文章于 2025-07-20 11:30:00 发布
阅读量4.2k 收藏 18
点赞数 5
CC 4.0 BY-SA版权
分类专栏: CTF之Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wyj_1216/article/details/94831394
本文详细解析了通过利用PHP的弱类型特性与%00截断技巧来绕过条件判断,从而成功获取隐藏的flag1和flag2。文章首先介绍了如何构造特殊的输入'a'和'b',使'a'满足既等于0又不等于0的矛盾条件,进而获取flag1;然后,通过在'b'后添加%00,使其在数字判断中失效,同时保持其数值大于1234,从而解锁flag2。

题目

[外链图片转存失败(img-vYmE1yhe-1562376306635)(E:\CTF\小白学习总结\攻防世界\web\picture\12.ti.PNG)]

[外链图片转存失败(img-xwutjZKZ-1562376306637)(E:\CTF\小白学习总结\攻防世界\web\picture\12.1.PNG)]

writeup

分析代码:

<?php
show_source(__FILE__);
include("config.php");
$a=@$_GET['a'];
$b=@$_GET['b'];
if($a==0 and $a){
    echo $flag1;
}
if(is_numeric($b)){
    exit();
}
if($b>1234){
    echo $flag2;
}
?>

可知:

若想得到flag1,则必须使得a==0且a不为0。

故有:

a=0a   //详情见知识点1-php弱类型

若想得到flag2,则必须使得b不为数字或数字字符串(详情见知识点2-is_numeric() 函数),且b>1234

故有:

b=12345%00   //详情见知识点3-%00截断

综上所述,有:

?a=0a&b=12345%00   //a与b用&连接

得到flag

[外链图片转存失败(img-WDGw5AOV-1562376306638)(E:\CTF\小白学习总结\攻防世界\web\picture\12.flag.PNG)]

知识点

1、php弱类型之“”与“=”

<?php
$a == $b ;
$a === $b ;
?>

== 在进行比较的时候,会先将字符串类型转化成相同,再比较

如果一个数值和字符串进行比较的时候,会将字符串转换成数值

=== 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较

<?php
2 var_dump("admin"==0);  //true
3 var_dump("1admin"==1); //true
4 var_dump("admin1"==1) //false
5 var_dump("admin1"==0) //true
6 var_dump("0e123456"=="0e4456789"); //true 
7 ?>

观察上述代码,

“admin”==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等;

“1admin”==1 比较的时候会将1admin转化成数值,结果为1;

而“admin1“==1 却等于错误,也就是"admin1"被转化成了0;

“0e123456”=="0e456789"相互比较的时候,会将0e这类字符串识别为科学技术法的数字,0的无论多少次方都是零,所以相等。

所以题目中,

if($a==0 and $a)

若满足,则需向上面例子中的

var_dump("admin"==0);  //true
var_dump("1admin"==1); //true

相类似,故我选择了

a=0a

也可以有其他的构造方法。

2、is_numeric() 函数

is_numeric() 函数用于检测变量是否为数字或数字字符串。


<?php
$var_name1=678;
$var_name2="a678";
$var_name3="678";
$var_name4="runoob.com";
$var_name5=698.99;
$var_name6=array("a1","a2");
$var_name7=+125689.66;
if (is_numeric($var_name1))
{
    echo "$var_name1 是数字" . PHP_EOL;
}
else
{
    echo "$var_name1 不是数字" . PHP_EOL ;
}
if (is_numeric($var_name2))
{
    echo "$var_name2 是数字" . PHP_EOL ;
}
else
{
    echo "$var_name2 不是数字" . PHP_EOL ;
}
 
$result=is_numeric($var_name3);
echo "[ $var_name3 是数字吗? ]" .var_dump($result) . PHP_EOL;
$result=is_numeric($var_name4);
echo "[ $var_name4 是数字吗? ]" .var_dump($result) . PHP_EOL;
$result=is_numeric($var_name5);
echo "[ $var_name5 是数字吗? ]" .var_dump($result) . PHP_EOL;
$result=is_numeric($var_name6);
echo "[ $var_name6 是数字吗? ]" .var_dump($result) . PHP_EOL;
$result=is_numeric($var_name7);
echo "[ $var_name7 是数字吗? ]" .var_dump($result);
?>

输出结果为:

678 是数字
a678 不是数字
bool(true)
[ 678 是数字吗? ]
bool(false)
[ runoob.com 是数字吗? ]
bool(true)
[ 698.99 是数字吗? ]
bool(false)
[ Array 是数字吗? ]
bool(true)
[ 125689.66 是数字吗? ]

即:

若变量为数字或数字字符串,则if()语句为真。

题目中,

if(is_numeric($b)){
    exit();
}

当b为数字或数字字符串,则执行exit()

当b不为数字或数字字符串,则执行下一步。

为了得到flag2,则b应不为数字或数字字符串。

3、%00截断

%00是空格的意思

具有截断作用

为使b不为数字或数字字符串,且b>1234

故使用%00的截断

即:

b=12345%00
攻防世界 Web simple_php
MrTreebook的博客
03-05 1889
攻防世界 Web simple_php1.分析源代码2.得到flag 1.分析源代码 <?php show_source(__FILE__); include("config.php"); $a=@$_GET['a']; $b=@$_GET['b']; if($a==0 and $a){ echo $flag1; } if(is_numeric($b)){ exit(); } if($b>1234){ echo $flag2; } ?>
ctf web5 练习_CTF-攻防世界-WEB新手练习 Writeup(12题入门题)
weixin_33603656的博客
01-15 3842
注:作者是CTF初学者,边学习边记录,如有错误或疏漏请批评指正,也请各位大佬多多包涵。攻防世界-WEB新手练习 12题入门题 Writeup(注意:攻防世界WEB题每次生成场景后,有时flag会改变,因此flag不同不要在意,主要是学习解题思路和方法)0X01view_sourceX老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。题目提示查看源码,鼠标右键不管用,用F12...
攻防世界——simple_php(NO.GFSJ0485
hhsjjsj的博客
09-11 1381
接下来是b的绕过,这里又要提及一个php的语言特性,有字母和数字的字符串与数字比较的时候,会将该字符串的数字部分转化为数字来比较,例如字符串’2500dasd’和数字300比较,会显示字符串大。首先是a的绕过,这里要提及一个php的语言特性,两个等于号是宽松比较,当字符串与数字宽松比较时,会将字符串转为数组,纯数字字符串转化为对应数字,而纯字母字符串会转为0,所以这里我们用字符串可以绕过。综上所述,我们现在是要传入a和b,让他们两个的值可以满足题目要求,返回flag1和flag2。
攻防世界-simple_php
最新发布
2301_81434523的博客
07-20 216
进入靶场看到一段php代码,然后a,b都是通过GET型进行传参。
攻防世界_simple_php
2401_87524087的博客
02-01 1317
同类型题(更难版->)
攻防世界simple_php
qq_60432316的博客
12-08 750
题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
攻防世界 web——simple_php
XYZCG的博客
09-02 712
因为php弱类型的语言,“==”仅表示数值相等,而且当数字和字母组成的字符串与数字进行比较时,仅会以最前面的数字参与比较,所以可写 a=0c。php比较也同样弱类型,仅检验前面,所以只要前面的数字大于1234,即b=6666c。
攻防世界-- web新手练习-- writeup汇总
yisosooo的博客
09-22 2597
一篇帖子包含所有题目。 第一题-- view_source 题目提示:鼠标右键好像不管用了。鼠标右键的主要功能之一是选取网易源代码选项,所以可以F12来查看源代码。即可得到flag。 第二题-- get_post 题目提示:HTTP通常使用两种请求方法。HTTP通常使用两种请求方法为GET和POST. 第一步:请用GET方式提交一个名为a,值为1的变量,构造URL:http://111....
2021-06-24CTF-攻防世界-WEB新手练习(12题入门题)
u258710的博客
06-24 2859
CTF-攻防世界-WEB新手练习(12题入门题)01-view_source02-robots03-backup04-cookie05-disabled_button06-weak_auth07-simple_php08-get_post09-xff_referer10-webshell11-command_execution12-simple_js 01-view_source 题目描述:X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 题目提示查看网页源代码,但鼠标右键不管用
CTF-攻防世界web新手入门篇
热门推荐
weixin_45923850的博客
04-14 1万+
CTF练习题目
攻防世界 web新手练习题解 下
weixin_46330722的博客
10-30 785
攻防世界 web新手练习题解 下simple_phpget_postxff_refererwebshellcommand_executionsimple_js simple_php 题目直接给出了源码,我们直接来分析一下,首先题目是要求我们通过get方式传递一个名为a和一个名为b的参数,并分别赋值给$a,$b。第一个判断是$a=0并且$a不能被判断为false。本地搭一个测试页面。 访问一下,并传递值为0的a参数 可见,$a被判断为了false。这里我们应该看到它使用的比较==,看一下官方文档。
攻防世界simple_phpweb简单)
my_name_is_sy的博客
05-26 3022
这一题考的是php语言中“==”的知识点,它仅仅表示数值想等。
simple_php攻防世界
2301_80548709的博客
11-08 1113
4.其次,对于$b有一个判定的函数is_numeric(),即如果$b为纯数字就会退出程序,同时满足$b>1234,所以我们可以来一个字符串$b=4567abc(在> <符号比较时,数字与字符串比较,会先将字符串转化为数字在比较)这时候这需要引入新的知识:(1)$a输入布尔值true,非空数组,非空字符串,非零数字则可使$a判断为真;(2)当逻辑运算符“==”进行判断时,左边的若为字符串(第一个字符不为数字)=空值,且不能为数字,同时满足==左边转化后为0。我们需要输入a,b的值。
simple_php-攻防世界
szhangliwenya的博客
03-21 1486
再次解释举例内容:数字和字符串比较中,字符串转换成数字的过程中,会取字符串前面数字的值作为整个字符串转换成数字的值,比较“1admin”,转换成数字就是1,所以"admin"的话,因为字符串没有数字,只能转换成0了,所以if("admin"==0) 会是true。是一个严格的整数或浮点数,而不是以数字开头的字符串,那么可能需要使用更严格的验证方法,例如正则表达式或类型转换检查。的值来自 URL 的 GET 参数,没有进行适当的输入验证或清理,这可能导致潜在的安全风险,特别是如果。直接构造playload。
攻防世界--simple_php
qq_73611185的博客
09-09 282
搜索得知php代码并不是那么的严谨,所以直接传值a=0as b=2345gybu(?a=0as&b=2345gybu),即可得到flag:Cyberpeace{647E37C7627CC3E4019EC69324F66C7C}也就是要求这里的a能够=0并且为真,b能够>1234并且不是数字。成为ctf全栈之路之web第十一题。
攻防世界 simple_php
2402_87387389的博客
02-01 392
PHP中,== 会自动转换类型然后进行比较,当一个字符串和一个数字进行比较时,PHP会尝试将这个字符串转换为一个数字。如下图这个例子中,字符串"2025a"会被转换为数字2025,因为在遇到非数字字符"a"时,转换就会停止。如果字符串不包含任何数字,那么它将被转换为0。b可以构造成2222a(任意一个比1234大的数+a),类型转换后为2222,大于1234。a可以构造成任意一个没有数字的字符串。
攻防世界simple_PHP解析
chlet的博客
10-29 3786
攻防世界simple_PHP解析; 点开场景; 这里有三个条件,我们可以逐一分析; (1)如果a=0且a为真,我们可以的到flag1; (2)is_number($b)的意思是判断b是否为数字,如果为数字则返回,说明此处的b不能为数字不然就执行exit()了; (3)要求b大于1234,可以得到flag2; 综上; b要求非数字并且大于1234,涉及到php弱类型比较; 本文直接给出b=1235a>1234,且b不为数字; 所以我们直接给url补充信息就好了; 最后得到我们的完整flag; ...
攻防世界 web simple_php
Emjl__的博客
05-05 695
打开题目,是一段php代码。 进行代码审计,发现,该程序以get方式接收a,b两个变量。而flag由两部分组成,分别受制于a,b。 对于a,当$a==0并且$a时会输出flag。对于b,当is_numeric($b) 不成立且b>1234使输出。 虽然看似不太可能,但php中用==进行判断(又叫弱类型比较)时会自动进行类型转换,而产生很多问题。 对于纯字母的字符串与数字比较时,会将字母视为0,而在字母前存在数字时,其 ...
攻防世界--simple php,easy php
m0_67467924的博客
04-20 1121
第一个if判断语句,使用isset判断变量a是否申明,使用intval获取变量的整数值,并判断其值大于6000000,使用strlen函数判断变量a的长度,且长度小于等于3.若三个同时满足,那么进行二次判断,若变量b也有声明,同时他的值在使用md5加密后使用substr函数获取加密后的6位,且这6位的值为8b84b,如果满足就给key变量赋值为1;最后我们来绕过c,首先c是一个数组,且数组中存在m键,因为m不能为数值型,但又要大于2022,于是我们选择构造5555ab这个字符来绕过。进入环境,代码审计,
攻防世界-web-file_include
12-06
在网络安全领域,文件包含漏洞(File Inclusion Vulnerability)是一种常见且危险的安全漏洞。文件包含漏洞通常出现在Web应用程序中,允许攻击者通过特定的参数或输入来包含并执行任意文件,从而可能导致服务器被完全控制或敏感信息泄露。 文件包含漏洞主要分为两种类型: 1. **本地文件包含(Local File Inclusion, LFI)**: - 攻击者可以包含服务器上的本地文件。 - 例如,攻击者可以通过修改URL参数来包含服务器的敏感配置文件或密码文件。 2. **远程文件包含(Remote File Inclusion, RFI)**: - 攻击者可以包含远程服务器上的文件。 - 例如,攻击者可以通过修改URL参数来包含远程服务器上的恶意脚本,从而执行任意代码。 ### 示例 假设有一个简单的PHP脚本用于包含文件: ```php <?php $file = $_GET['file']; include($file); ?> ``` 在这个例子中,攻击者可以通过修改`file`参数来包含任意文件。例如,访问以下URL: ``` http://example.com/page.php?file=/etc/passwd ``` 攻击者可以获取服务器的`/etc/passwd`文件内容。 ### 防御措施 1. **输入验证**:确保用户输入的文件名符合预期,例如只允许包含特定目录下的文件。 2. **使用白名单**:定义一个允许包含的文件列表,拒绝所有不在白名单中的文件。 3. **禁用远程文件包含**:在PHP配置文件中设置`allow_url_include`为`Off`,防止远程文件包含。 4. **最小权限原则**:确保Web服务器进程只具有必要的文件访问权限。 ###
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值