[BUUCTF] 极客大挑战 BuyFlag
0x1分析题目
像往常同样拿到题目后寻找有用的信息,在pay.php中看到了咱们这次的目标
有一个身份认证,还须要一个正确的密码。查看源码咱们发现了一段代码:php
~~~post money and password~~~ if (isset($_POST['password'])) { $password = $_POST['password']; if (is_numeric($password)) { echo "password can't be number</br>"; }elseif ($password == 404) { echo "Password Right!</br>"; } }
审计一下,咱们须要post password,而后经过is_numeric()函数的检测,若是password==404则输出正确。在这里提一下is_numeric()函数和弱类型。web
0x2知识点
is_numeric()函数
检测字符串是否只由数字组成,若是字符串中只包括数字,就返回Ture,不然返回False。举几个例子: 123 ,12.3 ,+123这些都能返回true,可是若是字符串中含有别的符号或者字母则返回false。数组
PHP弱类型
PHP中有== 和 ===两种比较方法,前者比较以前会把等号两边的数据类型转换成相同的,后者在比较以前要先判断数据类型是否相同,咱们称前者为PHP的弱类型,由于很容易发生“意外状况”。cookie
var_dump("a"==0); //true;
var_dump("1a"==1); //true;
var_dump("a1"==1) //false;
var_dump("a1"==0) //true;
以这几个为例,咱们能够看到字符直接被转换成了0,若是字符前面有数字则字符串等于数字,这种弱类型常常出如今ctf的题中。svg
还有一个特殊一点的:
var_dump("0e123456"=="0e4456789"); //true
由于科学计数法0的任意次方都等于0,因此这种类型也相等。函数
0x3构造payload
回到题目,咱们能够利用这两个知识点构造出password=404a,抓包后联想一下以前的身份验证,cookie改成1,把money=1000000000,最后post上去,并无出flag,提示说money太长了,试一下科学计数法,money=1e9,出现了flag。post
看了别人的wp以后发现这里money实际上是用来strcmp()函数比较,这个也是常常碰到的,strcmp(a,b),若是a<b返回负数,若是a>b返回正数,若是a=b返回0。spa
可是!若是a,b的类型不匹配,它会报错返回0,这就很致命了,明明数据类型不匹配可是断定相等了,因此咱们只要把money以数组的形式上传就行了。money[]=a,也能出现flag。
话很少说,上图!
结果是同样的。3d
ps:如有不足之处,欢迎大佬们及时斧正,感谢您的观看!code