进入题目页面如下
是一段PHP代码进行代码审计
<?php
// 高亮显示PHP文件源代码
highlight_file(__FILE__);// 初始化变量$key1和$key2为0
$key1 = 0;
$key2 = 0;// 从GET请求中获取参数'a'的值,并赋值给变量$a
$a = $_GET['a'];
// 从GET请求中获取参数'b'的值,并赋值给变量$b
$b = $_GET['b'];
// 检查是否在GET请求中存在,并且将$a转换为整数后大于6000000,同时$a的字符串长度小于等于3
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){// 检查变量$b是否被设置,并且$b的MD5哈希值的最后6位等于'8b184b'if(isset($b) && '8b184b' === substr(md5($b),-6,6)){// 如果上述条件都满足,将$key1的值设置为1$key1 = 1;}else{// 如果$b不满足条件,输出提示信息并终止脚本执行die("Emmm...再想想");}
}else{// 如果$a不满足条件,输出提示信息并终止脚本执行die("Emmm...");
}// 从GET请求中获取参数'c'的值,使用json_decode函数将其解码为数组,并将结果强制转换为数组类型,赋值给变量$c
$c=(array)json_decode(@$_GET['c']);// 检查$c是否为数组,并且$c数组中的键'm'对应的值不是数字类型,同时该值大于2022
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){// 检查$c数组中的键'n'对应的值是否为数组,并且该数组的元素个数为2,同时数组的第一个元素也是数组if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){// 在$c["n"]数组中搜索值为'DGGJ'的元素,并返回其键名,赋值给变量$d$d = array_search("DGGJ", $c["n"]);// 如果没有找到值为'DGGJ'的元素,输出提示信息并终止脚本执行$d === false?die("no..."):NULL;// 遍历$c["n"]数组,检查是否有元素的值直接等于'DGGJ'foreach($c["n"] as $key=>$val){// 如果有元素的值等于'DGGJ',输出提示信息并终止脚本执行$val==="DGGJ"?die("no......"):NULL;}// 如果上述条件都满足,将$key2的值设置为1$key2 = 1;}else{// 如果$c["n"]不满足条件,输出提示信息并终止脚本执行die("no hack");}
}else{// 如果$c不满足条件,输出提示信息并终止脚本执行die("no");
}// 检查$key1和$key2的值是否都为1,如果都为1,则表示所有条件都满足
if($key1 && $key2){// 包含名为'Hgfks.php'的文件include "Hgfks.php";// 输出成功提示echo "You're right"."\n";// 输出$flag变量的值echo $flag;
}?>重点看以下几行代码
// 检查是否在GET请求中存在,并且将$a转换为整数后大于6000000,同时$a的字符串长度小于等于3
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){// 检查变量$b是否被设置,并且$b的MD5哈希值的最后6位等于'8b184b'if(isset($b) && '8b184b' === substr(md5($b),-6,6)){// 如果上述条件都满足,将$key1的值设置为1$key1 = 1;// 检查$key1和$key2的值是否都为1,如果都为1,则表示所有条件都满足
if($key1 && $key2){// 包含名为'Hgfks.php'的文件include "Hgfks.php";// 输出成功提示echo "You're right"."\n";// 输出$flag变量的值echo $flag;可以知道当$key1和$key2值都为真时,输出flag
先构造$key1,通过GET传参a、b的值
$a需满足字符串长度小于等于3且值要大于6000000
常规的十进制数字表示中,要同时满足字符串长度小于等于 3 且值大于 6000000 是不可能的。但在 PHP 中,存在特殊的类型转换规则,我们可以借助科学计数法来绕过这个限制
在 PHP 里,当使用 intval() 函数转换字符串时,科学计数法表示的字符串会被正确转换为对应的整数。比如,字符串 "6e6" 代表 ,也就是 6000000。
需要大于6000000,则可以令$a的值为“7e6”、“8e6”、“9e6”等
$b的MD5哈希值的最后6位等于'8b184b'
用python写一个脚本爆破出$b的值,脚本如下
import hashlib
# 目标 MD5 哈希值的最后 6 位
target_suffix = '8b184b'
# 从一个简单的字符集开始生成字符串进行尝试
charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
length = 1
while True:from itertools import product# 生成所有可能的长度为 length 的字符串组合for combination in product(charset, repeat=length):s = ''.join(combination)# 计算字符串的 MD5 哈希值md5_hash = hashlib.md5(s.encode()).hexdigest()# 检查哈希值的最后 6 位是否等于目标后缀if md5_hash[-6:] == target_suffix:print(f"找到符合条件的字符串: {s}")print(f"其 MD5 哈希值为: {md5_hash}")breakelse:# 如果当前长度的所有组合都没有找到符合条件的字符串,增加长度继续尝试length += 1continuebreak可以用pycharm来执行,结果如下
得到$b的值为bDIOS
将a、b的值通过get传参,并查看输出
构造的payload为
?a=9e6&&b=bDIOS
看到输出的结果改变,$key1以及构造成功,下面构造$key2
重点看以下几行代码
// 从GET请求中获取参数'c'的值,使用json_decode函数将其解码为数组,并将结果强制转换为数组类型,赋值给变量$c
$c=(array)json_decode(@$_GET['c']);// 检查$c是否为数组,并且$c数组中的键'm'对应的值不是数字类型,同时该值大于2022
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){// 检查$c数组中的键'n'对应的值是否为数组,并且该数组的元素个数为2,同时数组的第一个元素也是数组if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){// 在$c["n"]数组中搜索值为'DGGJ'的元素,并返回其键名,赋值给变量$d$d = array_search("DGGJ", $c["n"]);// 如果没有找到值为'DGGJ'的元素,输出提示信息并终止脚本执行$d === false?die("no..."):NULL;// 遍历$c["n"]数组,检查是否有元素的值直接等于'DGGJ'foreach($c["n"] as $key=>$val){// 如果有元素的值等于'DGGJ',输出提示信息并终止脚本执行$val==="DGGJ"?die("no......"):NULL;}// 如果上述条件都满足,将$key2的值设置为1$key2 = 1;需要通过上传json形式的c来实现
外层条件
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)
-
is_array($c):$c必须是一个数组。通过json_decode解析$_GET['c']得到的结果要能被强制转换为数组 -
!is_numeric(@$c["m"]):$c数组中的键"m"对应的值不能是一个数字。这里使用@符号来抑制可能出现的未定义索引警告 -
$c["m"] > 2022:虽然$c["m"]不是数字,但在进行比较时,PHP 会尝试将其转换为数字进行比较。可以利用 PHP 的类型转换规则,使用以数字开头的字符串来满足这个条件。
由于is_numberic会将数字和数字字符串判定为真,但前导数字字符串不会以及>是弱类型比较,且是将c['m']的值与数字进行比较,我们可以直接用前导字符串来作为比较数字与2022进行比较。所以令c['m']='2025a'
键n值要满足:有且仅有两个元素的数组,第一个值为数组,第二个值要满足array_search("DGGJ", $c["n"])返回为真,同时c["n"]中又不能出现"DGGJ"。
可以利用array_search函数在比较两者是否相等时是使用的弱类型比较。由于"DGGJ"是既非数字字符串又非先导数字字符串的字符串,其在与数字进行比较时会转化为数字0。从而令c['n']的第二个值为0。(一点思考:此处若不是'DGGJ'而是其他字符串时,我们应该视情况而定,选择合适的数字)所以令c['n']=(array(1,2),0)
内层条件
if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))
-
is_array(@$c["n"]):$c数组中的键"n"对应的值必须是一个数组 -
count($c["n"]) == 2:这个数组的元素个数必须为 2 -
is_array($c["n"][0]):数组$c["n"]的第一个元素也必须是一个数组
所以最后构造的$c的payload为:c={"m":"2025a","n":[[1,2],0]}
最后传参a、b、c构造payload
?a=8e6&&b=bDIOS&&c={"m":"2025a","n":[[1,2],0]}
最终得到flag
