前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP最新优惠活动
返回腾讯云官网
社区首页 >专栏 >is_numeric和trim导致的判断绕过

is_numeric和trim导致的判断绕过

作者头像
LoRexxar
发布2023-02-21 14:06:35
6490
发布2023-02-21 14:06:35
举报
文章被收录于专栏:LoRexxar's BlogLoRexxar's Blog

前两天做了一道前段时间的三个白帽,遇到了一个有趣的php黑魔法…

题目的writeup是从这里看到的 http://drops.wooyun.org/tips/10564

题目的源码首先是这样的

代码语言:javascript
复制
<?php
if(isset($_GET['source'])){
    highlight_file(__FILE__);
    exit;
}
include_once("flag.php");
 /*
    shougong check if the $number is a palindrome number(hui wen shu)
 */
function is_palindrome_number($number) {
    $number = strval($number);
    $i = 0;
    $j = strlen($number) - 1;
    while($i < $j) {
        if($number[$i] !== $number[$j]) {
            return false;
        }
        $i++;
        $j--;
    }
    return true;
}
ini_set("display_error", false);
error_reporting(0);
$info = "";
$req = [];
foreach([$_GET, $_POST] as $global_var) {
    foreach($global_var as $key => $value) {
        $value = trim($value);
        is_string($value) && is_numeric($value) && $req[$key] = addslashes($value);
    }
}    
 
$n1 = intval($req["number"]);
$n2 = intval(strrev($req["number"]));
if($n1 && $n2) {
    if ($req["number"] != intval($req["number"])) {
        $info = "number must be integer!";
    } elseif ($req["number"][0] == "+" || $req["number"][0] == "-") {
        $info = "no symbol";
    } elseif ($n1 != $n2) { //first check
        $info = "no, this is not a palindrome number!";
    } else { //second check
        if(is_palindrome_number($req["number"])) {
            $info = "nice! {$n1} is a palindrome number!";
        } else {
            if(strpos($req["number"], ".") === false && $n1 < 2147483646) {
                $info = "find another strange dongxi: " . FLAG2;
            } else {
                $info = "find a strange dongxi: " . FLAG;
            }
        }
    }
} else {
    $info = "no number input~";
}
?>

简单分析下逻辑,flag需要满足三个条件 1、number = intval(number) 2、intval(number) = intval(strrev(number)) 3、not a palindorme number

还有一个很重要的判断是区别于falg1和2的

if(strpos($req[“number”], “.”) === false && $n1 < 2147483646)

这一句让我知道flag1的做法很清楚了就是上溢或者下溢,一种是2147483647,还有一种是number=2147483647.00000000001,这样在intval下,0.0000000000001会变成2147483647,满足条件。

有些系统下可能用了64位,那么溢出的数字要是9223372036854775807,这种情况下的payload是:number=09223372036854775807.

当然上面这种不是主要目的,问题在flag2,这里禁止使用.且数字必须小于2147483646,那么就不能使用溢出的方式了。

让我们来看看is_numeric的源码。

从画框的地方,我们可以看到,在is_numeric开始判断之前,首先要跳过所有的空白字符,也就是说即使前面我们传入一些空格什么的也是可以过判断的。

但是我们会发现前面不是有trim吗,这里我们看看trim的源码

我们发现过滤的空白字符少了一个\f,那么就很清楚了,我们可以用%0c过这里的判断了

number=%0c121

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2016/04/04,如有侵权请联系 cloudcommunity@tencent.com 删除
php

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

php
评论
登录后参与评论
0 条评论
热度
最新
登录 后参与评论
推荐阅读
LV.
文章
0
获赞
0
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2024 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论