[CTF/网络安全] 攻防世界 simple_php 解题详析
题目描述:小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
代码解读
$a=@$_GET['a']; 从HTTP GET请求参数中获取一个名为a的变量,并将其赋值给变量a。@符号用于禁止错误输出,如果不存在参数a则会将变量a设置为NULL。
$b=@$_GET['b']; 从HTTP GET请求参数中获取一个名为b的变量,并将其赋值给变量b。
if($a==0 and $a){ echo $flag1; } 如果变量a等于0并且a存在,则输出变量flag1的值。但是由于a不可能同时为0和存在,因此这个if语句不会执行。
if(is_numeric($b)){ exit(); } 如果变量b是一个数字,则终止程序的执行。
if($b>1234){ echo $flag2; } 如果变量b的值大于1234,则输出变量flag2的值。
PHP弱语言特性
在 PHP 中,有两种比较运算符用于比较两个值是否相等,它们分别是 ==和 ===,它们的区别如下:
== 比较运算符是一个松散比较,它只比较变量的值,而不考虑变量的数据类型。当比较两个变量时,如果它们的值相等,则返回 true。
例如:0 == "0" 返回 true。
=== 恒等比较运算符是一个严格比较,它不仅比较变量的值,还比较变量的数据类型和内存地址。当使用恒等比较运算符比较两个变量时,如果它们的值和数据类型都相等,则返回 true。
例如:0 === "0" 返回 false。
因为 == 操作符仅比较值,所以当比较字符串时,PHP 会尝试将字符串转换为数字进行比较
具体来说,PHP会依次执行以下步骤:
-
如果其中一个操作数是布尔值(true或false),则将其转换为1(true)或0(false)。
-
如果其中一个操作数是null,将其转换为整数0。
-
如果其中一个操作数是数组,将其转换为字符串Array。
-
如果操作数中的任何一个是对象,则将其转换为字符串Object。
-
对于两个操作数都是字符串的情况,PHP会将两个字符串中的非数字字符删除,然后将剩余的数字字符串转换为相应的数字进行比较。
-
如果以上都不适用,则将字符串转换为数字进行比较。
例如,当比较字符串"0123"和整数123时,返回 true;当比较字符串"12xxx"和整数12时,返回 true,因为 PHP 会将字符串转换为数字后进行比较。
姿势
参数a限制绕过
由于a等于0并且a存在,所以可构造开头数值为0的字符串a
GET:a=0qiu
参数b限制绕过
由于b不能为数字且b数值大于1234,因此可构造开头数值大于1234的字符串b
GET:b=1235qiu
回显如下:
总结
该题结合GET传参姿势考察PHP代码的解读及PHP弱语言特性。