lottery+web2
lottery
题目分析
题目给了一个彩票网站,经过页面的探索,没有发现明显漏洞,进行目录扫描,发现该站存在.git文件
猜测存在源码泄露,使用githack利用:
获得网页源码,进行源码分析
源码审计
// api.php
function buy($req){
require_registered();
require_min_money(2);
$money = $_SESSION['money'];
$numbers = $req['numbers']; // 获得用户输入数字
$win_numbers = random_win_nums(); // 生成随机数字
$same_count = 0;
for($i=0; $i<7; $i++){
if($numbers[$i] == $win_numbers[$i]){ // 使用 == 进行数字按位比对
$same_count++;
}
}
switch ($same_count) {
case 2:
$prize = 5;
break;
······
}
$money += $prize - 2;
$_SESSION['money'] = $money;
response(['status'=>'ok','numbers'=>$numbers, 'win_numbers'=>$win_numbers, 'money'=>$money, 'prize'=>$prize]);
}
这个函数使用==进行数字判断,而php==是弱类型判断,存在许多漏洞,不建议使用:
var_dump('123fg456'==123); // true
var_dump('some string' == 0); // true
var_dump(123.0 == '123d456'); // true
var_dump(0 == "a"); // true
var_dump("1" == "01"); // true
var_dump("1" == "1e0"); // true
如果比较一个整数和字符串,则字符串会被转换为整数。如果比较两个数字字符串,则作为整数比较。
特别注意,字符串转换为整数时,是从左到右,直到遇到非数字字符为止。也就是说 '123abc456' 会被转换成 123,而不是 123456。另外字符串开始的空格会被忽略,比如 ' 234abc' 转换为 234。
进行位检查的时候我们直接构建出[true,true,true,true,true,true,true]进行比较,有0的时候还是会出现问题,但是多请求几次就够钱购买flag了。
web2 解密
<?php
$miwen="a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws";
function encode($str){
$_o=strrev($str);
// echo $_o;
for($_0=0;$_0<strlen($_o);$_0++){
$_c=substr($_o,$_0,1);
$__=ord($_c)+1;
$_c=chr($__);
$_=$_.$_c;
}
return str_rot13(strrev(base64_encode($_)));
}
highlight_file(__FILE__);
/*
逆向加密算法,解密$miwen就是flag
*/
?>
题目描述很简单,直接根据加密函数,写出相应的解密函数即可。
python脚本如下:
#!/usr/bin/python3
import base64
def rot13(s, OffSet=13):
def encodeCh(ch):
f=lambda x: chr((ord(ch)-x+OffSet) % 26 + x)
return f(97) if ch.islower() else (f(65) if ch.isupper() else ch)
return ''.join(encodeCh(c) for c in s)
def main():
miwen = "a1zLbgQsCESEIqRLwuQAyMwLyq2L5VwBxqGA3RQAyumZ0tmMvSGM2ZwB4tws"
flag = ""
miwen = rot13(miwen)
miwen = miwen[::-1]
miwen = base64.b64decode(miwen)
miwen = miwen.decode('utf-8')
for i in range(0, len(miwen)):
flag += chr(ord(miwen[i]) - 1)
print(flag[::-1])
if __name__ == "__main__":
main()
