CTF中的PHP特性函数解析之上篇
作者:XINO 时间:2023-06-14 02:19:58
前言
对于PHP大家一定不陌生,但你知道PHP在CTF中是如何考察的吗,本文给大家带来的是通过PHP特性来进行CTF比赛中解题出题的知识,会介绍一下CTF中常见的php特性以及围绕该知识点的相关案例,因为内容过多这里分成上中下三篇来讲,下面我们展开来讲。
MD5强弱碰撞
对于MD5加密大家一定很熟悉,在PHP里同样存在函数MD5,该函数可以将指定的字符串通过哈希函数转为复杂的加密字符串。在CTF中有着关于MD5的最基本的知识,即强/弱类型比较。
弱类型比较
观察以下代码:
if(md5($_GET['a'])==md5($_GET['b']))
echo $xino;
可以看到比较时有两个等号,我们要怎样让他们相等呢?根据php弱类型比较特性,当两个等于号时,会将变量转化为同类型,那么我们可以思考,如果把传入的数据改成md5加密后都为开头0e的字符串是不是就可以绕过了,因为这样会被认为是科学计数法,不管加什么都永远是0,我们也就绕过了,这里举几个字符串md5加密后都为0e的:
NWWKITQ:0e763082070976038347657360817689
NOOPCJF:0e818888003657176127862245791911
s878926199a:0e545993274517709034328855841020
s1091221200a:0e940624217856561557816327384675
强类型比较
观察下面代码:
if (md5($_POST['a']) === md5($_POST['b']))
echo xino;
如果我们等号变成三个还可以用上面方法绕过吗?答案是否定的,因为三个等号在PHP里意味着强类型比较,上面的方法因为0e后面数据不同便不可行了,于是这里可以用数组来绕过,因为PHP特性允许接受数组,而数组在MD5加密后为NULL,于是借助这个特性可以进行绕过。
我们可以传入下面的PAYLOAD绕过:
a[]=a&b[]=b
强碰撞
难度进一步升级,如果我们要面对的是以下代码呢:
$a = (string)$_GET['a'];
$b = (string)$_GET['b'];
if (md5($a) === md5($b)) {
die('OK');
}
因为强制类型转换的原因,我们不能像上面一样传入数组了,于是需要进行MD5强碰撞,及内容不同而MD5值要相同,这就很难办了,但是我们可以用工具生成,这里给大家举一个可行的例子:
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
preg_match()
这是一个正则表达式函数,简单来说会对我们设置的数据进行匹配,比如:
<?php
if (preg_match("/xino/i", "XINO IS A BOY .")){
echo "查找到匹配的字符串 php。"; }
else { echo "未发现匹配的字符串 php。"; } ?>
因为我们用/i设置了大小写不敏感,所以可以找到匹配字符串,所以会返回查询到的字符串,下面我们看看如何绕过。
<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
$num = $_GET['num'];
if(preg_match("/[0-9]/", $num)){
die("no no no!");
}
if(intval($num)){
echo $flag;
}
}
其中intval的作用是取整,可以看到正则过滤了数字,但由于PHP特性,该函数只能处理字符串,于是我们可以传入数组进行绕过:
?num[]=1
提交后成功echo出了flag,绕过成功。
来源:https://juejin.cn/post/7177356631464738871
![](/images/zang.png)
![](/images/jiucuo.png)
猜你喜欢
node.js+express+mySQL+ejs+bootstrop实现网站登录注册功能
![](https://img.aspxhome.com/file/2023/9/55989_0s.gif)
详解如何在pyqt中通过OpenCV实现对窗口的透视变换
![](https://img.aspxhome.com/file/2023/2/82802_0s.gif)
Oracle学习笔记(五)
oracle跨库查询的方法
python将二维数组升为一维数组或二维降为一维方法实例
![](https://img.aspxhome.com/file/2023/3/61713_0s.png)
详解Python3 对象组合zip()和回退方式*zip
![](https://img.aspxhome.com/file/2023/2/115432_0s.webp)
Thinkphp5.0 框架的请求方式与响应方式分析
用代码帮你了解Python基础(2)
go 字符串修改的操作代码
MySQL Proxy应用入门(1)--安装MySQL Proxy
python检测某个变量是否有定义的方法
python实现dict版图遍历示例
python实现电子书翻页小程序
![](https://img.aspxhome.com/file/2023/3/117283_0s.png)
一文带你吃透Python中的日期时间模块
![](https://img.aspxhome.com/file/2023/0/103670_0s.png)
Python安装whl文件过程图解
![](https://img.aspxhome.com/file/2023/7/121077_0s.png)
mysql 控制台程序的提示符 prompt 字符串设置
python爬取m3u8连接的视频
php微信公众号开发(4)php实现自定义关键字回复
matplotlib绘制直方图的基本配置(万能模板案例)
![](https://img.aspxhome.com/file/2023/9/128329_0s.png)
Python unittest单元测试框架及断言方法
![](https://img.aspxhome.com/file/2023/5/79785_0s.png)