印象笔记

阅读后我们发现要找到flag就要找到和‘QNKCDZO’md5加密后相同的字符串。显然“碰撞”找对应字符串是几乎不可能的,那么推测应该是利用PHP语言的弱类型的特性:

1)将QNKCDZO进行MD5加密,密文为0e830400451993494058024219903391,发现密文为0e开头,PHP在进行比较运算时,如果遇到了0e\d+这种字符串,就会将这种字符串解析为科学计数法。

2)因为0exx都等于0,所以让两者相等我们只需再找到一个MD5加密后开头为0e的字符串即可

3)相关字符串:

md5('s878926199a')=0e545993274517709034328855841020

md5('s155964671a')=0e342768416822451524974117254469

//php中“==”和“===”的区别:“==”只比较数据的值是否相等,而“===”比较的是数据类型和值是否相等,

比如整数0和浮点数0.0

用==比较返回TRUE

用===比较返回FLASE

文件包含:

http://4.chinalover.sinaapp.com/web7/index.php

了解php://filter 元封装器

文件读取操作:

include “test.php”php文件包含,在执行流中插入写在其他文件中的有用的代码。读取的时候也是数据流形式,因此可以使用php://filter进行过滤,返回值为0,1。

readfile(“test.php”)是将文件以数据流的形式读取过来,并不会执行,但会在前台浏览器上进行解析。返回值是字节数多少。

file_get_contents(“test.php”)返回值为文本内容

典型的文件包含漏洞我们可以通过构造含有漏洞的语句,查看想要看的代码

构造语句:file=php://filter/read=convert.base64-encode/resource=index.php

1.php://filter/可用于处理打开的数据流,起到过滤作用。如果源文件为.php则很有可能在前台显示不出来。

2.此时我们采用的方法是,先让文件转化为base64格式(convert.base64-encode)然后再输出,这样不论是什么格式的文件都可以在前台输出。

3.再次解码就可得到源代码

了解php://filter详细内容:http://php.net/manual/zh/wrappers.php.php


ereg函数:

ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的。//正则表达式

stripos函数:strpos('i love php','php'),匹配‘i love php’中是否有"php",有则返回字符所在位置

题目源码如下:


if (isset ($_GET['nctf'])) {

if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)

echo '必须输入数字才行';//利用ereg函数对输入的字符进行匹配,若是数字返回真,否则返回FALSE,此时可以用%00进行对字符截断,%00截断及遇到%00则默认为字符串的结束

else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE)

die('Flag: '.$flag);

else

echo '骚年,继续努力吧啊~';

}

?>

一、此时可以输入1%00%23biubiubiu,ereg ("^[1-9]+$", $_GET['nctf'])匹配出1,而strpos匹配到原字符,可输出flag

二、输入a[]=1,此时为数组不符合ereg匹配的类型,绕过了ereg函数,此时strpos获得的是“Array”,也绕过了strpos函数


变量覆盖:

源码:



extract($_POST);

if ($pass==$thepassword_123) {?>




很明显,当$pass和$thepassword_123的值相等时,输出flag,此时抓包修改post的值就可以得到flag

//extract函数,extract() 函数从数组中将变量导入到当前的符号表

例如


$a = "Original";

$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");

extract($my_array);

echo "\$a = $a; \$b = $b; \$c = $c";

?>

输出结果为:$a = Cat; $b = Dog; $c = Horse


pass check:


$pass=@$_POST['pass'];

$pass1=***********;//被隐藏起来的密码

if(isset($pass))

{

if(@!strcmp($pass,$pass1)){

echo "flag:nctf{*}";

}else{

echo "the pass is wrong!";

}

}else{

echo "please input pass!";

}

?>

tip:strcmp(array,string)=null=0

strcmp为字符串比较函数,s=trcmp(string1,string2),当string1与string2相等时s=0,string1



sql注入4:

源码:


#GOAL: login as admin,then get the flag;

error_reporting(0);

require 'db.inc.php';

function clean($str){

if(get_magic_quotes_gpc()){

$str=stripslashes($str);

}

return htmlentities($str, ENT_QUOTES);

}

$username = @clean((string)$_GET['username']);

$password = @clean((string)$_GET['password']);

$query='SELECT * FROM users WHERE name=\''.$username.'\' AND pass=\''.$password.'\';';

$result=mysql_query($query);

if(!$result || mysql_num_rows($result) < 1){

die('Invalid password!');

}

echo $flag;

-->

函数说明:

magic_quotes_gpc()开启时为获得的字符中的单引号等字符进行转义,get_magic_quotes_gpc()为检查magic_quotes_gpc()是否开启

stripslashes函数为字符串中删除由addslashes函数添加的反斜杠

htmlentities()函数: htmlentities() 函数把字符转换为 HTML 实体

htmlentities($str, ENT_COMPAT); // 只转换双引号

htmlentities($str, ENT_QUOTES); // 转换双引号和单引号

htmlentities($str, ENT_NOQUOTES); // 不转换任何引号

即htmlentities以编码格式将单引号或双引号编码后再解码到html文本中(我是这样理解的:))

在mysql查询语句中转义字符不参与闭合

当输入admin=\&password=or 1=1#'的时候源码变为

select * from users where name=\''\'\'ANDpass=\''or 1=1#''\',所以第二个引号与第六个引号闭合,绕过检测

你可能感兴趣的:(印象笔记)