当前位置：首页 > news >正文

ctfshow(94,95)--PHP特性--strpos函数

news 2025/6/28 7:27:22

建议先学习intval函数相关内容

Web94

源代码：

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){$num = $_GET['num'];if($num==="4476"){die("no no no!");}if(preg_match("/[a-z]/i", $num)){die("no no no!");}if(!strpos($num, "0")){die("no no no!");}if(intval($num,0)===4476){echo $flag;}
}

审计

共四处条件判断：
第一处，严格比较$num==="4476"，返回值为false则进入下一处。
第二处，preg_match("/[a-z]/i", $num)，返回值为0则进入下一处。
第三处，!strpos($num, "0")，strpos函数返回值不为false则进入下一处.

int|false strpos(str $str , str $find)

strpos函数，第一个参数为字符串，第二个参数为要从字符串中寻找的字符
当没有匹配到目标字符时，返回值为bool型的false
当匹配到目标字符时，返回值目标字符第一次出现的索引位置，int类型

第四处，intval($num,0)===4476，返回值为true则获得flag。

思路

第一处，可以使用八进制、十六进制、科学计数法绕过

?num=4476e1
?num=010574
?num=0x117c

第二处，过滤了字母，因此十六进制、科学计数法绕过被过滤。
第三次，strpos($num, "0")在num中搜索0，搜索到则返回索引位置。

?num=010574'0'在num中第一次出现的索引位置为0，因此strpos函数的返回值为0
由于函数前有!,所以条件判断最后的返回值为true,绕过失败

以上三种方法全部绕过失败。

这里学习新的绕过方法。

?num=+010574 正数符号绕过
?num=4476.0 小数绕过

正数符号绕过
在数字前面加+号，不影响数字的值。
?num=+010574显然绕过了第一处和第二处条件判断。
而到第三处判断，由于第一个0的索引位置变成了1，索引strpos($num, "0")的值变成了1，那么!strpos($num, "0")的值就变成了false，成功绕过。
第四处返回值显然为true，得到flag。

小数绕过
?num=4476.0显然绕过了第一处和第二处条件判断。
而到第三处判断，由于第一个0的索引位置变成了5，索引strpos($num, "0")的值变成了5，那么!strpos($num, "0")的值就变成了false，成功绕过。
第四处返回值显然为true，得到flag。

这里补充一个知识点，intval函数将小数转换为整数时，只保留整数部分，小数点及其之后的数字是直接被去掉的。

Web95

源代码：

include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['num'])){$num = $_GET['num'];if($num==4476){die("no no no!");}if(preg_match("/[a-z]|\./i", $num)){die("no no no!!");}if(!strpos($num, "0")){die("no no no!!!");}if(intval($num,0)===4476){echo $flag;}
}