攻防世界easyphp

Posted RexHarrr

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了攻防世界easyphp相关的知识,希望对你有一定的参考价值。

废话不多说,打开环境就是一大段的php代码,对于我一个小白来说,还是难阿!只能一点点琢磨构造payload的思路,当然也是在网上参考了别人的wp。记录下来也为了加深自己的印象,有事没事都能翻一翻,温故而知新嘛。

<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)
    if(isset($b) && '8b184b' === substr(md5($b),-6,6))
        $key1 = 1;
        else
            die("Emmm...再想想");
        
    else
    die("Emmm...");


$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val)
            $val==="DGGJ"?die("no......"):NULL;
        
        $key2 = 1;
    else
        die("no hack");
    
else
    die("no");


if($key1 && $key2)
    include "Hgfks.php";
    echo "You're right"."\\n";
    echo $flag;


?> Emmm...

看最后一段,当key1和key2的值都为1时,才会返回flag的值。而key1和key2需要当a、b、c三个参数都满足条件时才会被赋值为1。

一段一段来分析,首先是a和b两个参数的要求。

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)
    if(isset($b) && '8b184b' === substr(md5($b),-6,6))
        $key1 = 1;
        else
            die("Emmm...再想想");
        
    else
    die("Emmm...");

a的值需要大于6000000但是长度却不能大于3,很容易能想到用科学计数法来表示,比如1e8、1e9都可以。

b的md5值的最后6位需为“8b184b”,这个除了写脚本爆破好像也不知道还有什么更好的办法了。==>md5(53724)

import hashlib
for i in range(100000):
    b=i.to_bytes(22, 'big')
    m=hashlib.md5(str(i).encode()).hexdigest()
    if(m[-6:]=="8b184b"):
        print(i)
        print(m)

接着看一下c

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val)
            $val==="DGGJ"?die("no......"):NULL;
        
        $key2 = 1;
    else
        die("no hack");
    
else
    die("no");

c是个json格式的参数,且m键对应的值不为数字的同时需要满足大于2022

is_numeric在php中判断参数是否是数值类型是否是数字或数字字符串。"2222a"会被判定为false。
如果“2222a”和2022比较,则可以看作2222与2022的比较;若为“a2222”,则会被认定为0。
因此这里m键对应的参数可以为“2333abc”,可以同时满足上述的条件。

n键对应的值为数组,个数为2,且数组里的第一个元素也为数组,即[[...],...]

再往下看,如果n键对应值里面没有DGGJ,则会被判定为false,直接die,但下面又说如果遍历到了DGGJ也会被直接die...

array_search() 函数与 in_array() 一样,在数组中查找一个键值。如果找到了该值,匹配元素的键名会被返回。如果没找到,则返回 false。其实相当于键值与“DGGJ”进行比较,而 php中当一个数字与一个字符串/字符进行大小比较时,首先系统尝试将此字符串/字符转换为整型/浮点型,然后进行比较。所以当n键对应的值为数字且包含数字0的话,DGGJ被视为0,即可在”其中找到DGGJ“,返回True。

所以可以构造出c为"m":"2333abc","n":[[0,1],0]

综上

构造payload:

http://ip:port/?a=1e9&b=53724&c="m":"2333abc","n":[[0,1],0]

以上是关于攻防世界easyphp的主要内容,如果未能解决你的问题,请参考以下文章

攻防世界XCTF-WEB入门全通关

攻防世界WEB练习区(backupcookiedisabled_button)

《攻防世界》学习笔记——web篇

XCTF-攻防世界CTF平台-Web类——3php_rce

攻防世界 web进阶区 NewsCenter

XCTF攻防世界web新手区1——view_source