您现在的位置是：首页 > 文章详情

你真的会PHP吗？——实验吧

日期：2018-07-11点击：554收藏

刚刚做了实验吧的题目，现在整理一下

写出解题思路，希望能够帮助到那些需要帮助的人

所有的wp都是以一题一篇的形式写出

主要是为了能够让读者更好的阅读以及查找，

希望你们不要责怪！！共勉！！！

你真的会PHP吗？分值：30

来源：实验吧
难度：中
参与人数：4163人
Get Flag：714人
答题人数：888人
解题通过率：80%

你真的会PHP吗？

会？还是不会？

解题链接： http://ctf5.shiyanbar.com/web/PHP/index.php

解题思路：这一题可以get需要知识点，也可以回忆一下关于以前的知识

点击链接，进行抓包处理就会得到：

进入这个链接就会得到：http://ctf5.shiyanbar.com/web/PHP/6c525af4059b4fe7d8c33a.txt

<?php


$info = ""; 
$req = [];
$flag="xxxxxxxxxx";

ini_set("display_error", false); 
error_reporting(0); 


if(!isset($_POST['number'])){
   header("hint:6c525af4059b4fe7d8c33a.txt");

   die("have a fun!!"); 
}

foreach([$_POST] as $global_var) { 
    foreach($global_var as $key => $value) { 
        $value = trim($value); 
        is_string($value) && $req[$key] = addslashes($value); 
    } 
} 


function is_palindrome_number($number) { 
    $number = strval($number); 
    $i = 0; 
    $j = strlen($number) - 1; 
    while($i < $j) { 
        if($number[$i] !== $number[$j]) { 
            return false; 
        } 
        $i++; 
        $j--; 
    } 
    return true; 
} 


if(is_numeric($_REQUEST['number'])){
    
   $info="sorry, you cann't input a number!";

}elseif($req['number']!=strval(intval($req['number']))){
      
     $info = "number must be equal to it's integer!! ";  

}else{

     $value1 = intval($req["number"]);
     $value2 = intval(strrev($req["number"]));  

     if($value1!=$value2){
          $info="no, this is not a palindrome number!";
     }else{
          
          if(is_palindrome_number($req["number"])){
              $info = "nice! {$value1} is a palindrome number!"; 
          }else{
             $info=$flag;
          }
     }

}

echo $info;

接下来进行代码审计：

if(is_numeric($_REQUEST['number'])){
    
   $info="sorry, you cann't input a number!";//条件1：输入的不能只是数字
 
}elseif($req['number']!=strval(intval($req['number']))){
      
     $info = "number must be equal to it's integer!! ";  //条件2：输入的值经过变整型又变成字符型后应该与原来一样
 
}else{
 
     $value1 = intval($req["number"]);
     $value2 = intval(strrev($req["number"]));  
 
     if($value1!=$value2){//条件3：输入的值直接变成整型应该和其颠倒之后再变成整型一样
          $info="no, this is not a palindrome number!";
     }else{
          
          if(is_palindrome_number($req["number"])){//条件4：输入的不能是回文，就是颠倒和原来不能一样
              $info = "nice! {$value1} is a palindrome number!"; 
          }else{
             $info=$flag;
          }
     }
 
}
 
echo $info;

我看writeup看到有两种解法：

利用intval溢出

intval最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。
举例，在这样的系统上， intval(‘1000000000000’) 会返回 2147483647。

64 位系统上，最大带符号的 integer 值是 9223372036854775807。

通过上面我们知道服务器的操作系统是32位的，所以我们构造2147483647就可以同时满足2，3条件。

通过把空字符可以绕过is_numeric的判断（如%00,%20）,所以我们构造以下poc，

number=2147483647%00 和number=2147483647%20都可。
我们来看上面的payload是怎么绕过上面的条件的，

首先因为我们post的number中包含%00或者%20这样的空字符，

所以在is_numeric判断时，会返回false,接下来
$req['number']!=strval(intval($req['number']))
intval会忽略掉我们的空字符%00与%20，所以这里也就绕过了，然后：

$value1 = intval($req["number"]);
$value2 = intval(strrev($req["number"]));

这两个值要相等，由于我们输入的number已经达到了intval的最大值，

所以当执行strrev后，得到7463847412这个值，这个值经过intval转换为2147483647，所以这两个值相等了。
但是2147483647又不是回文数，所以得到flag。

注：strval会忽略掉%00与%20
注：如果你输入number=’1’这样的字符，后台存储的字符串时’\’1\”，意思就是会把引号作为你输入的字符串的一部分。

这是个很奇怪的特性，大家可以测试一下
注：其中很多细节，我是通过把源码拷贝到本地执行得到的结果，大家也可以测试一下自己的想法。

0x02科学记数法绕过

因为要求不能为回文数，但又要满足intval(req["number"])=intval(strrev(

不得不说脑洞是真的大

您可以考虑给博主来个小小的打赏以资鼓励，您的肯定将是我最大的动力。

作者：落花四月

出处： https://www.cnblogs.com/lxz-1263030049/

关于作者：潜心于网络安全学习。如有问题或建议，请多多赐教！

特此声明：所有评论和私信都会在第一时间回复。也欢迎园子的大大们指正错误，共同进步。或者直接私信我

声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是作者坚持原创和持续写作的最大动力！

原文链接：https://yq.aliyun.com/articles/649077

关注公众号

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。

持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

转载内容版权归作者及来源网站所有，本站原创内容转载请注明来源。

Java分享

你真的会PHP吗？——实验吧

你真的会PHP吗？分值：30

利用intval溢出

0x02科学记数法绕过

2018-07-12 第六十七天 EsayUI

自动扫雷 python

相关文章

文章评论

文章二维码

点击排行

推荐阅读

最新文章