实验吧之Forms天网管理系统

Posted 2022-02-09 -qing-

Forms

原题链接

http://ctf5.shiyanbar.com/10/main.php

 

Form 其实是个提示，代表html表单
F12 查看源码，发现

<input name="showsource" value="0" type="hidden">

只要把hidden删除，就可以看到又多出了一个，输入框，容易知道输入1提交以后得到源码。

提交-19827747736161128312837161661727773716166727272616149001823847

 

 

 

天网管理系统

地址:http://ctf5.shiyanbar.com/10/web1/

 

查看源码 发现有提示:

<!-- $test=$_GET[‘username‘]; $test=md5($test); if($test==‘0‘) -->

php弱类型问题，md5加密等于0

 

ps:

== :　 比较运算符号  不会检查条件式的表达式的类型

===:  恒等计算符 , 同时检查表达式的值与类型。（会检查表达式类型，如bool）

 

 

php中的弱类型比较:

intval()：变量转成整数类型

　　如果参数是字符串，则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值。

　　如果字符串第一个是‘-‘，则从第二个开始算起。 
　　如果参数是浮点数，则返回他取整之后的值。 
　　当然intval()返回的值在一个4字节所能表示的范围之内（-2147483648~2147483647），对于超过这个范围的值将用边界值代替。 

* 当php进行一些数学计算的时候，当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。

1 var_dump(0 == ‘0‘); // true 
2 var_dump(0 == ‘abcdefg‘); // true 
3 var_dump(0 === ‘abcdefg‘); // false 
4 var_dump(1 == ‘1abcdef‘); // true

* bool类型的true跟任意字符串可以弱类型相等

 

 

这道题考的也是php弱类型

<!-- $test=$_GET[‘username‘]; $test=md5($test); if($test==‘0‘) -->

这里说明要为用户名传入一个字符串，并且它经过md5加密后要等于0。

PHP会把类数值数据（如含有数字的字符串等）转换成数值处理，== 运算符就是其中之一。在使用 == 运算符对两个字符串进行松散比较时，PHP会把类数值的字符串转换为数值进行比较，如果参数是字符串，则返回字符串中第一个不是数字的字符之前的数字串所代表的整数值。比如: ‘3‘ == ‘3ascasd‘结果为true。

因此只要找到一个字串加密后第一个字符为0即可，这里提供几个：240610708，aabg7XSs，aabC9RqS 

 

 /user.php?fame=hjkleffifer  访问此地址

 

　$unserialize_str = $_POST[‘password‘];
　　$data_unserialize = unserialize($unserialize_str);
　　if ($data_unserialize[‘user‘] == ‘???‘ && $data_unserialize[‘pass‘] == ‘???‘) 
　　print_r($flag);
　　

码意思是把post提交的password值经过"反序列化"得到一个数组，要求数组里的user和pass都等于某个值时就打印flag。

但是我们不知道两处???到底是什么，因此无法考虑用php函数构造这样的值。

提示： "伟大的科学家php方言道：成也布尔，败也布尔" ，bool类型的true跟任意字符串可以弱类型相等。因此我们可以构造bool类型的序列化数据 ，无论比较的值是什么，结果都为true。（a代表array，s代表string，b代表bool，而数字代表个数/长度）

构造password值为： 

a:2:s:4:"user";b:1;s:4:"pass";b:1;

在密码栏中提交构造的值，即可获取flag: ctfdwduwkhduw5465