一、访问在线靶场ctfshow

ctf.showhttps://ctf.show/challenges如下图所示，进入_萌新赛的web1问题：

如上图所示，页面代码提示id=1000时，可以查询到flag，进行如下尝试：

如下图所示，传入参数id=1时，显示出了标题(title)和内容(content)。

 如上图所示，可以看到查询sql语句，尝试使用id=1 or id =1000，截图如下：

 如上图所示，只显示了id=1时的内容，再看sql语句，order by id limit 1，对id进行了排序且只输出第1条的title和content。尝试传入参数id=2时，title和content都没显示出来，截图如下：

尝试传入参数id=2 or id=1000，title和content显示出来了id=1000时的title和content，截图如下：

 这这这，为何显示了flag❓

order by id limit 1为何显示出来了id=1000的title和content呢？！

本来想着让order by id limit 1失效，没想到flag显示出来了😓。

尝试传入参数id=2 or id=1000 --+，如截图所示也显示出来flag，--+在数据库中是注释掉后面一行内容，即使order by id limit 1失效，这里的+，在浏览器访问地址中表示空格，传入sql语句中是空格。

 尝试传入参数id=2 || id=1000，同上，如截图所示也显示出来flag。

尝试传入参数id=2 union select * from article where id=1000，如截图所示也显示出来flag。

 尝试传入参数id='1000'，如截图所示也显示出来flag。

尝试传入参数id="1000"，如截图所示也显示出来flag。

 尝试传入参数id=~~1000，~在sql语句中表示取反，~~1000是取反后再取反，即还是原数1000，如截图所示也显示出来flag。

 尝试传入参数id=0b1111101000，即二进制数1000，如截图所示也显示出来flag。

 尝试传入参数id=01750，即八进制数1000，为何未显示出来flag？！

  尝试传入参数id=0x3e8，即十六进制数1000，如截图所示也显示出来flag。

 尝试传入参数id=20*50，即20乘以50运算，等于1000，如截图所示也显示出来flag。

尝试传入参数id=500/0.5，即500除以0.5运算，等于1000，如截图所示也显示出来flag。

尝试传入参数id=0000^1000，即0000异或1000运算，等于1000，如截图所示也显示出来flag。

 尝试传入参数id=0000|1000，即0000或1000运算，等于1000，如截图所示也显示出来flag。

  尝试传入参数id=125<<3，即125的二进制左移3位后，后面补0，等于1000，如截图所示也显示出来flag。

尝试传入参数id=power(10,3)，即10的3次方运算，等于1000，如截图所示也显示出来flag。

尝试传入参数id='1e3'，即科学计数法10的3次方运算，等于1000，如截图所示也显示出来flag。

  尝试传入参数id=/**/1000，/**/在sql语句中，星号之间是注释说明，如截图所示也显示出来flag。

  尝试传入参数id=/*!1000*/，/*!1000*/在sql语句中是内联注释，如截图所示也显示出来flag。

 二、$_GET['id']获取到的参数是String类型的

如下图所示，尝试传如参数id='1000'或id=8时，$_GET['id']获取到的id数值类型是String类型的。

所以想要输出id=1000时的结果，需要查看intval()的运行结果，且需要查询sql能正常执行。

比如，传入参数id=id=2 or id=1000 --+，intval("id=2 or id=1000 --+")的运行结果是2，且sql执行结果是查询出了id=2 or id=1000的结果。

比如，传入参数id='1000'，intval("'1000'")的运行结果是0，查询sql时id='1000'，直接查询出id=1000的结果。

比如，传入参数id=01750，intval("01750")的运行结果是1750，所以未能执行sql，查不出来flag！

另外，就是id传入的参数是字符串，intval()转为整数时，是一位一位转换为整数时，遇到非数字值时则停止，若没有数值，则直接返回0，所以intval("id=2 or id=1000 --+")转换为整数时是2。

---

三、intval()函数尝试

再返回来看看该题，传入参数id=1000时报错；审计代码，使用intval($id)函数进行条件判断，菜鸟教程查询该函数，解释如下：

 被这个intval()函数搞得晕头转向了😓

 在csdn的InsCode编辑其中，中进行了如上尝试，感觉貌似知道了intval函数啥意思，又被菜鸟教程的实例搞晕了，继续尝试，怎么都没法理解，想出来的奇葩理由🤭：

对于这个函数神奇的表现，猜测如下😂：

intval()函数返回的是十进制的整数。

第一个参数可以是数字、可以是字符串。

第二个参数是指定第一个参数的数字类型（二进制、八进制、十六进制......），可以指定，也可以不指定，不指定时默认为十进制，若是0，将会对第一个参数做合法性校验。

第一个参数若为字符串，转换为十进制时是一位一位来计算的，若和第二位参数指定的类型不符时，遇到不合法位前，也会一位一位计算出第二位参数指定进制的十进制结果；若没有指定第二个参数，那么默认按十进制转换；第一个参数若为数值时，第二个参数指明的类型是否正确，你就别给我胡强了的感觉😄。

另外还有个特殊情况，就是第二个参数可以是0，是0时，会判断第一个参数是不是满足数据类型要求，比如二进制0b10（二进制以0b开头，数值部分只能包含1或0），八进制072（八进制以0开头，数值部分只能包含0至7这8个数字），十六进制0xa8（十六进制以0x开头，数值部分只能包含0至9，a至f），若不满足数据类型要求，则直接报语法错误！

---