Bugku 代码审计

extract变量覆盖

我们看到extract函数没有设置extract_rules，而extract默认的规则是如果有冲突则覆盖掉已有的变量，因此我们可以构造  120.24.86.145:9009/1.php?shiyan=&flag=

还有另一种方法

看到file_get_contents函数，我们可以通过php://input为其赋值

strcmp比较字符串

strcmp是比较字符串的函数，构造数组即可绕过

payload：120.24.86.145:9009/6.php?a[]=1

urldecode二次编码绕过

解读源码

1、id不等于hackerDJ

2、传入的id url解码后等于hackerDJ

因为浏览器自身会对id解码一次，所以我们只要传入两次url编码后的hackerDJ即可

payload：120.24.86.145:9009/10.php?id=hacker%2544J

md5()函数

解读源码：

1、username不等于password

2、md5(username) === md5(password)

因此0e开头的字符串不能绕过了，但是我们可以构造数组绕过

payload：120.24.86.145:9009/18.php?username[]=a&password[]=b

数组返回NULL绕过

ereg、strops是处理字符串的函数，在处理数组时会返回null，即可绕过

payload： 120.24.86.145:9009/19.php?password[]=

弱类型整数大小比较绕过

is_numeric是检测数字及数字字符串的，因此我们只需要在我们传进去的数字后面加入非数字字符即可绕过

payload： 120.24.86.145:9009/22.php?password=1377a

sha()函数比较绕过

解读源码：

1、name不等于password

2、他们的sha1值相等

sha1不能处理数组，因此构造数组即可绕过

payload： 120.24.86.145:9009/7.php?name[]=1&password[]=2

md5加密相等绕过

常见的md5比较漏洞，就不多说了

payload： 120.24.86.145:9009/13.php?a=s878926199a

十六进制与数字比较

ord()返回字符串首字母的ascii值，结合题目，传入3735929054的十六进制即可getflag

payload： http://120.24.86.145:9009/20.php?password=0xdeadc0de

变量覆盖

这题和第一题一模一样的，就不多说了，两种方法任选一种都可以

ereg正则%00截断

ereg存在%00漏洞，因此这里可以用%00绕过，而passowrd长的要小于8但是数值又要大于9999999，因此可以用科学计数法绕过

payload：http://120.24.86.145:9009/5.php?password=9e8%00*-*

strpos数组绕过

利用ereg和strops处理数组时的漏洞

payload： 120.24.86.145:9009/15.php?ctf[]=1

数字验证正则绕过

preg_match('/^[[:graph:]]{12,}$/', $password) 即匹配password中除空格和tab键之外的字符12次以上，那如果我们传进去的password长度小于12或者是数组的话，preg_match 返回的就是0，就能输出flag

简单的waf

要求传入abcde，a中不能包含php，因此a不能用php://input来为其赋值了，但是可以通过远程文件包含来为其赋值，即在自己的服务器上写一个txt文件，e可以用php://input来赋值，然后就会看到返回hello admin

但是c和d不知道有什么作用，看到c中不能包含flag，d不能包含base64，于是猜测题目可能存在flag.php之类的，需要通过d去读取？尝试访问flag.php看到flag on my head，访问flag，发现会下载一个文件，里面说Please call admin to get flag，令c=flag.php会触发他的waf，但是令c=Flag.php可以绕过，但是也没有返回其他的东西，摇头.gif不知道怎么操作了，希望有大佬会的话带带我Orz

作者水平有限，若有错误请指出Orz