bugku-代码审计wp

1.extract变量覆盖

解题方法: GET请求?flag=&shiyan=，extract()会将$flag和$gift的值覆盖了，将变量的值设置为空或者不存在的文件就满足$gift == $content

2.strcmp比较字符串

                         PHP的strcmp()函数在PHP5.3版本之前使用数组可以绕过验证                                   

strcmp()用法参考:

      函数期望传入的类型是字符串类型的数据，要是我们传入非字符串类型的数据的话，这个函数将发生错误，但是在5.3之前的php中，显示了报错的警告信息后，将return 0 。也就是说虽然报了错，但却判定其相等了，也就绕过了判断。

3.urldecode二次编码绕过

eregi()是不区分大小写的正则匹配,进行两次url编码即可。

4.md5()函数

显然我们得构造username和password的值不相等，但是它们的md5的值相等才能得到flag 因为md5不能处理数组，可以使用数组绕过，md5(数组)会返回null，这样可以实现username!=password,但是md5(username)===md5(password)

md5()参考：http://www.w3school.com.cn/php/func_string_md5.asp

5.数组返回NULL绕过

ereg只能处理字符，而password是数组，所以返回的是null，三个等号的时候不会进行类型转换。所以null!==false。 strpos的参数同样不能够是数组，所以返回的依旧是null，null!==false也是正确。

6.弱类型整数大小比较绕过

解题思路:is_numeric()函数对于空字符%00，无论是%00放在前后都可以判断为非数值，而%20空格字符只能放在数值后。所以，查看函数发现该函数对于第一个空格字符会跳过空格字符判断，接着后面的判断

7.sha()函数比较绕过

第一处if ($_GET['name'] == $_GET['password'])判断时两数组确实是不同的，但在第二处else if (sha1($_GET['name']) === sha1($_GET['password']))判断时由于sha1()函数无法处理数组类型，将报错并返回false，false === false条件成立，这样就绕过了sha()函数获得flag

8.md5加密相等绕过

PHP在处理哈希字符串时，会利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以”0E”开头的，那么PHP将会认为他们相同，都是0。

9.十六进制与数字比较

将3735929054进行十六进制转换，得到deadc0de,在转换得到的字符前加上0x,使用0xdeadc0de来进行绕过

10.ereg正则%00截断

使用数组绕过

11.strpos数组绕过

使用数组进行绕过

12.数字验证正则绕过

不会。