Bugku——strpos数组绕过

0x00 前言

不想学习，简单的做一做CTF的题目。
看到了CTF里的排名，然后好像又有了动力。

题目

0x01 start

题目说的很清楚。数组绕过。那我们来看一下源码，然后来进行测试。

$flag = "flag";
if (isset ($_GET['ctf'])) {
if (@ereg ("^[1-9]+$", $_GET['ctf']) === FALSE)
echo '必须输入数字才行';
else if (strpos ($_GET['ctf'], '#biubiubiu') !== FALSE)
die('Flag: '.$flag);
else
echo '骚年，继续努力吧啊~';
}
?>

这里首先看到的是get传参 ctf，然后必须是数字，然后需要绕过 strpos。

这里我们测试payload：

?ctf[]=1