打开页面是一个代码审计的题目,是我不太熟悉的东西,但是没关系,我们可以学是吧,以下为源代码
<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;
$a = $_GET['a'];
$b = $_GET['b'];
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
$key1 = 1;
}else{
die("Emmm...再想想");
}
}else{
die("Emmm...");
}
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
}else{
die("no hack");
}
}else{
die("no");
}
if($key1 && $key2){
include "Hgfks.php";
echo "You're right"."\n";
echo $flag;
}
?>
总思路
我们先大致看一遍代码,看他需要满足怎么样的需求
先看最后这段
if($key1 && $key2){
include "Hgfks.php";
echo "You're right"."\n";
echo $flag;
}
需要key1和key2都为真,然后再输出flag,我们看看key1和key2分别需要什么条件
下面来看这段代码
$a = $_GET['a'];
$b = $_GET['b'];
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
$key1 = 1;
}else{
die("Emmm...再想想");
}
}else{
die("Emmm...");
}
需要传入两个值,分别为a,b
参数a
这里有两个if判断,我们先看第一个
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)
需要我们传入的a大于6000000,并且长度小于3,我们可以使用科学计数法来实现a=6e7来实现
参数b
第二个if判断
if(isset($b) && '8b184b' === substr(md5($b),-6,6))
需要b参数经过md5计算后,后六位字符串为8b184b,我们写一个脚本跑一下,看是多少
可以看出是53724,以下为脚本,可以复制使用
import hashlib
for i in range(1000000):
m2 = hashlib.md5()
m2.update(str(i).encode())
if m2.hexdigest()[-6:] == "8b184b":
print(i)
break
这样我们key1就已经搞定了,接下来我们来看看key2怎么操作
参数c
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
}else{
die("no hack");
}
}else{
die("no");
}
先看第一段
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)
首先我们得先传入一个数组为c,然后用is_numeric判断c[“m”]是不是数字,并且把判断取反,这里的意思就是,不能是数字,然后c[“m”]需要大于2022
is_numeric函数如果整个 expression 的运算结果为数字,则 IsNumeric 返回 True;否则返回 False
意思就是:如果是数字,返回True,但题目有个感叹号,代表取反,变为Flase。所以我们不能让$c[“m”]为数字
这里我就想到了可以使用php的弱比较来绕过,比如2023a
然后看下一段
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))
意思是$c[“n”]必须为数组,并且这个数组的长度为2,并且$c[“n”][0]也是数组,现在大致的样子就是$c={“m”:“2023a”,“n”:[[1,2],a,b,c]}
我们继续往下面看
$d = array_search("DGGJ", $c["n"]);
$d === false?die("no..."):NULL;
从$c[“n”]中查找DGGJ,如果查找到了便返回True没找到便返回False,此处必须满足,否则die,我们再往下看
foreach($c["n"] as $key=>$val){
$val==="DGGJ"?die("no......"):NULL;
}
$key2 = 1;
使用foreach循环$c[“n”],如果循环到了DGGJ就die,这里肯定跟上面就矛盾了,这里肯定是要绕过的,肯定是有绕过方法的
array_search()绕过:
array_search()与in_array()一样,类型会进行强制转换
所以如果我们传入的是$c[“n”]=0时,那么array_search(“DGGJ”,$c[“n”]),就相当于"DGGJ"==0,这个等式是成立的
所以我们可以用0和DGGJ来作比较,因为0==“DGGJ”,但当判断0==="DGGJ"时为false,所以可以绕过
于是便有了最终的payload
?a=6e7&b=53724&c={“m”:“2023a”,“n”:[[],0]}
得到最终的flag
