随笔分类 -  CTF之PHP特性

ctfshow菜狗杯-无一幸免_FIXED(数组整型溢出绕过赋值式“永真”判断)
摘要:if (isset($_GET['0'])){ $arr[$_GET['0']]=1; if ($arr[]=1){ die("nonono!"); } else{ die($flag); } } 重点在$arr[]=1意思是在数组中追加一个数并且赋值为1,具体看下。 可以看到数组a中多了一个下标为 阅读全文
posted @ 2022-11-26 00:08 hithub 阅读(532) 评论(0) 推荐(1) 编辑
ctfshow web145
摘要:if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = (String)$_GET['v1']; $v2 = (String)$_GET['v2']; $v3 = (String)$_GET['v3']; i 阅读全文
posted @ 2022-10-20 19:00 hithub 阅读(85) 评论(0) 推荐(0) 编辑
ctfshow web141(无数字字母命令执行+特性:数字是可以和命令进行一些运算)
摘要:if(isset($_GET['v1']) && isset($_GET['v2']) && isset($_GET['v3'])){ $v1 = (String)$_GET['v1']; $v2 = (String)$_GET['v2']; $v3 = (String)$_GET['v3']; i 阅读全文
posted @ 2022-10-20 17:08 hithub 阅读(278) 评论(0) 推荐(0) 编辑
ctfshow web130.131(突破正则!)
摘要:if(isset($_POST['f'])){ //$f = (String)$_POST['f']; if(preg_match('/.+?ctfshow/is', $f)){ die('bye!'); } if(stripos($f,'36Dctfshow') FALSE){ die('bye! 阅读全文
posted @ 2022-10-19 21:10 hithub 阅读(164) 评论(0) 推荐(0) 编辑
ctfshow web128(_()函数,php_gettext.dll)
摘要:_()是一个函数 _()==gettext() 是gettext()的拓展函数,开启text扩展。需要php扩展目录下有php_gettext.dll get_defined_vars()函数 get_defined_vars — 返回由所有已定义变量所组成的数组 这样可以获得 $flag payl 阅读全文
posted @ 2022-10-19 19:33 hithub 阅读(39) 评论(0) 推荐(0) 编辑
ctfshow web126($_SERVER['argv']的使用)
摘要:$a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\ 阅读全文
posted @ 2022-10-19 16:57 hithub 阅读(340) 评论(0) 推荐(0) 编辑
ctfshow web123(php get或post变量名中非法字符转化下划线)
摘要:$a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\ 阅读全文
posted @ 2022-10-18 23:55 hithub 阅读(923) 评论(0) 推荐(0) 编辑
ctfshow web115(is_numeric绕过+相等==而又不相等!==)
摘要:function filter($num){ $num=str_replace("0x","1",$num); $num=str_replace("0","1",$num); $num=str_replace(".","1",$num); $num=str_replace("e","1",$num) 阅读全文
posted @ 2022-10-18 19:18 hithub 阅读(572) 评论(0) 推荐(0) 编辑
ctfshow web111($$变量覆盖+PHP超全局变量)
摘要:function getFlag(&$v1,&$v2){ eval("$$v1 = &$$v2;"); var_dump($$v1); } if(isset($_GET['v1']) && isset($_GET['v2'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2 阅读全文
posted @ 2022-10-18 11:52 hithub 阅读(135) 评论(0) 推荐(0) 编辑
ctfshow web99(in_array函数漏洞)
摘要:<?php highlight_file(__FILE__); $allow = array();//设置为数组 for ($i=36; $i < 0x36d; $i++) { array_push($allow, rand(1,$i));//向数组里面插入随机数 } i f(isset($_GET 阅读全文
posted @ 2022-10-17 15:44 hithub 阅读(99) 评论(0) 推荐(0) 编辑
ctfshow web100(运算符优先级问题)
摘要:<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-21 22:10:28 # @ 阅读全文
posted @ 2022-10-17 15:43 hithub 阅读(163) 评论(0) 推荐(0) 编辑
江苏工匠杯easyphp(array_search绕过)
摘要:<?php highlight_file(__FILE__); $key1 = 0; $key2 = 0; $a = $_GET['a']; $b = $_GET['b']; if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){ if(i 阅读全文
posted @ 2022-10-07 22:14 hithub 阅读(586) 评论(0) 推荐(0) 编辑
攻防世界favorite_number(php数组溢出+正则m绕过+Linux命令绕过)
摘要:<?php //php5.5.9 $stuff = $_POST["stuff"]; $array = ['admin', 'user']; if($stuff $array && $stuff[0] != 'admin') { $num= $_POST["num"]; if (preg_match 阅读全文
posted @ 2022-10-07 20:00 hithub 阅读(162) 评论(0) 推荐(0) 编辑
PHP标签写法
摘要:<?php echo 1; ?> 正常写法 <? echo 1; ?> 短标签写法,5.4 起 <?= 'hello'; <? echo 'hello'; <?= phpinfo();?> <% echo 1; %> asp 风格写法 <script language="php"> echo 1; 阅读全文
posted @ 2022-10-07 14:55 hithub 阅读(482) 评论(0) 推荐(0) 编辑
md5($password,true)绕过
摘要:1. ffifdyop 的MD5加密结果是 276f722736c95d99e921722cf9ed621c ( 16 字符长度的原始二进制格式) 经过MySQL编码后会变成'or'6xxx,使SQL恒成立,相当于万能密码,可以绕过md5()函数的加密 2. 在group by 后面加入 with 阅读全文
posted @ 2022-05-19 11:31 hithub 阅读(207) 评论(0) 推荐(0) 编辑
php弱类型(md5+sha绕过)
摘要:1.PHP在处理哈希字符串时,它把每一个以“0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以“0E”开头的,那么PHP将会认为他们相同,都是0。 以下值在md5加密后以0E开头: QNKCDZO 240610708 s878926199a s155964671a s2 阅读全文
posted @ 2022-05-14 16:14 hithub 阅读(506) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示