CTF-代码审计(3)..实验吧——你真的会PHP吗

连接:http://ctf5.shiyanbar.com/web/PHP/index.php

 

根据题目应该就是代码审计得题,进去就是

CTF-代码审计(3)..实验吧——你真的会PHP吗_第1张图片

日常工具扫一下,御剑和dirsearch.py 无果

抓包,发现返回得响应头里面有提示

CTF-代码审计(3)..实验吧——你真的会PHP吗_第2张图片

 

访问则拿到源码。。

有次听培训有个学长说,做代码审计看代码顺序,先去找flag在哪儿,快速找到直接从那儿开始看。

CTF-代码审计(3)..实验吧——你真的会PHP吗_第3张图片

 

 

 

intval()     返回变量得整数值

CTF-代码审计(3)..实验吧——你真的会PHP吗_第4张图片

 

strrev()  这个函数让字符串反序.

 

 

 

然后再来看代码里is_palindrome_number()得功能,函数得功能

CTF-代码审计(3)..实验吧——你真的会PHP吗_第5张图片

就是看看这个输入这个字符是不是回文数,是就返回ture。(有时候如果看不懂函数得内容可以直接翻译函数得名字,一般是对得,哈哈哈) //    回文数就是   12321 1112111 这样的第i个和n-i个字符要相等。

 

ok,接下来说解题思路

四个限制条件

CTF-代码审计(3)..实验吧——你真的会PHP吗_第6张图片

 

不得不说,CTF里得代码审计老是出这种矛盾得题,其实就是想让我们利用函数得漏洞绕过

第一个 is_numeric() 可以用%00绕过,可以输入数字,所以这里第一个条件和第二个条件通过。%00可以放在开头或结尾,%20只能放在最后。

三四个条件绕过得方法很多种

1.intval() 处理浮点数得时候直接返回整数,所以我们直接构造 number=0.00%00

 这样得话就可以满足第三个条件满足,因为0得反序也是0

但是代码里那个函数处理number得时候,是从第一位和最后一位相等,倒数第二位和第二位相等一次类推,所以我们直接构造0.00,0是不是回文数我不知道,但是第二位 '.'和倒数第二位’0‘是不同得,所以检测函数会判断它不是回文数,所以条件4也绕过,拿到flag。

CTF-代码审计(3)..实验吧——你真的会PHP吗_第7张图片

类似这个0.00%00 得原理还有  ’-0%00‘

 

2.number=0e00%00

这个原理和上面一样,只是把0.00 换成科学记数法而已。

 

3.构造法3,这个构造法我去测试了发现不行,出处  https://blog.csdn.net/he_and/article/details/80615920

CTF-代码审计(3)..实验吧——你真的会PHP吗_第8张图片

 

但是看了别人得wp发现以前是可以得。

能想出这个方法得人真是棒棒哦,也许题目就是想这么考得,因为32位最大就是 2147483647 ,value2得过程就是,先将2147483647反序,得到7463847412,而这个数字是大于2147483647这个数字得,所以intval()这个函数又会返回 2147483647,这样就使得value1和value2得值都相等了,而2147483647这个数又不是回文数,所以绕过四个条件。

但是这个方法不行了,我也不知道为什么.

如果服务器是64位操作系统这个方法则不行,因为9223372036854775807这个数反序后比最大小。

 

你可能感兴趣的:(CTF-代码审计(3)..实验吧——你真的会PHP吗)