西普实验吧ctf-web-Once More(代码审计)

题目地址： http://ctf5.shiyanbar.com/web/more.php

View the source code，又是一道代码审计：

if (isset ($_GET['password'])) {
	if (ereg ("^[a-zA-Z0-9]+$", $_GET['password']) === FALSE)
	{
		echo '
You password must be alphanumeric
';
	}
	else if (strlen($_GET['password']) < 8 && $_GET['password'] > 9999999)
	{
		if (strpos ($_GET['password'], '*-*') !== FALSE)
		{
			die('Flag: ' . $flag);
		}
		else
		{
			echo('
*-* have not been found
');
		}
	}
	else
	{
		echo '
Invalid password
';
	}
}

分析代码，有两个函数需要注意：

1. ereg() 正则限制了password格式，只能是一个或者多个数字、大小写字母
2. strpos() 查找某字符串在另一字符串中第一次出现的位置（区分大小写），本题中需要匹配到"*-*"才能输出flag

---

解题方法1：利用数组绕过这两个函数

ereg() 只能处理字符串，而password是数组，所以返回的是null，三个等号的时候不会进行类型转换。所以null!==false。

strpos() 的参数同样不能够是数组，所以返回的依旧是null，null!==false也正确。

Payload：http://ctf5.shiyanbar.com/web/more.php?password[]=a

解题方法2：%00截断绕过正则匹配

判断是不是长度<8且>9999999

判断是不是有“*-*”

注意：这个构造不能在输入框中输入，要在地址栏输入

Payload：http://ctf5.shiyanbar.com/web/more.php?password=1e9%00*-*