extract变量覆盖
我们看到extract函数没有设置extract_rules,而extract默认的规则是如果有冲突则覆盖掉已有的变量,因此我们可以构造 120.24.86.145:9009/1.php?shiyan=&flag=
还有另一种方法
看到file_get_contents函数,我们可以通过php://input为其赋值
strcmp比较字符串
strcmp是比较字符串的函数,构造数组即可绕过
payload:120.24.86.145:9009/6.php?a[]=1
urldecode二次编码绕过
解读源码
1、id不等于hackerDJ
2、传入的id url解码后等于hackerDJ
因为浏览器自身会对id解码一次,所以我们只要传入两次url编码后的hackerDJ即可
payload:120.24.86.145:9009/10.php?id=hacker%2544J
md5()函数
解读源码:
1、username不等于password
2、md5(username) === md5(password)
因此0e开头的字符串不能绕过了,但是我们可以构造数组绕过
payload:120.24.86.145:9009/18.php?username[]=a&password[]=b
数组返回NULL绕过
ereg、strops是处理字符串的函数,在处理数组时会返回null,即可绕过
payload: 120.24.86.145:9009/19.php?password[]=
弱类型整数大小比较绕过
is_numeric是检测数字及数字字符串的,因此我们只需要在我们传进去的数字后面加入非数字字符即可绕过
payload: 120.24.86.145:9009/22.php?password=1377a
sha()函数比较绕过
解读源码:
1、name不等于password
2、他们的sha1值相等
sha1不能处理数组,因此构造数组即可绕过
payload: 120.24.86.145:9009/7.php?name[]=1&password[]=2
md5加密相等绕过
常见的md5比较漏洞,就不多说了
payload: 120.24.86.145:9009/13.php?a=s878926199a
十六进制与数字比较
ord()返回字符串首字母的ascii值,结合题目,传入3735929054的十六进制即可getflag
payload: http://120.24.86.145:9009/20.php?password=0xdeadc0de
变量覆盖
这题和第一题一模一样的,就不多说了,两种方法任选一种都可以
ereg正则%00截断
ereg存在%00漏洞,因此这里可以用%00绕过,而passowrd长的要小于8但是数值又要大于9999999,因此可以用科学计数法绕过
payload:http://120.24.86.145:9009/5.php?password=9e8%00*-*
strpos数组绕过
利用ereg和strops处理数组时的漏洞
payload: 120.24.86.145:9009/15.php?ctf[]=1
数字验证正则绕过
preg_match('/^[[:graph:]]{12,}$/', $password) 即匹配password中除空格和tab键之外的字符12次以上,那如果我们传进去的password长度小于12或者是数组的话,preg_match 返回的就是0,就能输出flag
简单的waf
要求传入abcde,a中不能包含php,因此a不能用php://input来为其赋值了,但是可以通过远程文件包含来为其赋值,即在自己的服务器上写一个txt文件,e可以用php://input来赋值,然后就会看到返回hello admin
但是c和d不知道有什么作用,看到c中不能包含flag,d不能包含base64,于是猜测题目可能存在flag.php之类的,需要通过d去读取?尝试访问flag.php看到flag on my head,访问flag,发现会下载一个文件,里面说Please call admin to get flag,令c=flag.php会触发他的waf,但是令c=Flag.php可以绕过,但是也没有返回其他的东西,摇头.gif不知道怎么操作了,希望有大佬会的话带带我Orz
作者水平有限,若有错误请指出Orz