资讯专栏INFORMATION COLUMN

ctfshow-萌新-web1( 利用intval函数的特性获取敏感数据)

bluesky / 1469人阅读

摘要:萌新模块的关这一关考察的是函数转换字符串时的特性以及的拼接绕过这一关直接就给了源码并提示我们时就是先分析一下源码首先是函数将参数转换为数值型直接结束程序也就是说我们传递的不能大于明知道就是但不能直接传否则程序会直接结束传递的即不能大于又需

ctf.show 萌新模块的web1关, 这一关考察的是intval()函数转换字符串时的特性以及SQL的拼接绕过

 

这一关直接就给了源码, 并提示我们 id = 1000 时, 就是flag

 

 先分析一下源码, 首先是 intval()函数将参数id转换为数值型, id > 999直接die()结束程序, 也就是说我们传递的id不能大于 999, 明知道1000就是flag, 但不能直接传1000, 否则程序会直接die()结束, 传递的id 即不能大于999, 又需要查询 1000的值 , 这里我们可以通过 or( 逻辑或)来同时传递两个id, 一个id用于绕过intval($id) > 999 的验证, 另一个id 用来返回1000的查询结果, 也就是flag

?id=2 or id=1000

 夺旗成功

 这里需要解释一下intval()函数的一些特性

intval()函数用来获取变量的整数值, 使用的时候常见的有两种情况

1. 转换整数时,返回整数本身
2. 转换字符串时, 会从字符串的开始进行转换,直到遇到一个非数字的字符,如果字符串的第一个字符不是整数,则返回0

 当我们传递 id = 2 or id = 1000 时, 后台的执行结果会是下面这样

  传递的参数 id = 2 or id = 1000 被当做一个字符串 " 2 or id = 1000" , intval()函数会从字符串的开始进行转换, 直到遇到非数字的字符, 转换到or的时候, 由于or不是数字类型的字符, 从而停止转换, 转换的结果就只有 2 

 

 传递的参数 id = 2 or id = 1000 被intval()函数转换成2以后, 参与if条件判断自然不会大于999, 从而绕过了intval()的校验

 

绕过intval()函数的校验以后自然就会执行后边的SQL语句, 我们先来查看id的具体返回结果

 id = 1 的时候, 返回了id为1的信息

 而当id = 2 的时候, 信息是空显示 , 也就是说数据库里没有id为2的信息

当我们输入的参数 id = 2 or id = 1000 参与SQL的执行时, 会变成下面这样

select * from article where id = 2 or id = 1000 order by id limit 1 

SQL会同时查询2 和 1000 这两个id的信息, 刚才我们试过, id为2时, 没有信息, 那这条SQL查询的结果就只有 id = 1000 的信息, 从而返回flag

除此之外, 还有一些其他的答案, 在此关卡的靶场中可以正常获取flag, 但这些绕过只适用于PHP7.0以前的部分版本, 新版本中已经修复了这些漏洞, 以下是部分答案

字符串绕过 "1000"

二进制 0b1111101000

十六进制 0x38e

两次取反 ~~1000

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/119600.html

相关文章

  • ctfshow-萌新-web3( 利用intval函数特性配合联合注入获取网站敏感信息)

    摘要:萌新模块关,此关卡考察的是函数的特性,以及注入漏洞的利用首先需要利用转换字符串的特性绕过校验,而后利用联合注入获取数据库中的敏感信息,从而获取,源码中过滤了,加减乘除,,等关键字,这里推荐使用联合注入页面中给出了源码,并提示我们时,就可 ctf.show 萌新模块 web3关,此关卡考察...

    Eminjannn 评论0 收藏0
  • ctfshow-萌新-web2( 利用intval函数特性配合SQL特殊符号获取敏感数据 )

    摘要:萌新模块关,此关卡使用函数强制将参数转换成数值型,可以使用字符绕过,配合特殊符号控制的查询结果,从而获取,这一关过滤了,我们可以使用加号,减号,乘号,除号,或,左移等方式绕过页面中给出了源码,并提示我们时,即可获取这里有两个关键点,首先是  ctf.show 萌新模块 web2关,此关卡...

    Songlcy 评论0 收藏0
  • ctfshow-萌新-web14( 曲线救国-POST请求绕过获取网站敏感信息)

    摘要:萌新模块关此关卡是一个代码执行漏洞重点在于命令执行函数的利用方式源码中过滤比较严格尤其是过滤了分号之后虽然可以用来代替分号但这样一来就只能执行一行代码难度较大需要注意的是源码中的过滤只针对请求的参数而未对请求的参数做限制这里推荐曲线救国请 ctf.show 萌新模块 web14关, 此关...

    z2xy 评论0 收藏0
  • ctfshow-萌新-web15( 人为什么要活着?难道埃塞俄比亚再无我阿呆容身之处?)

    摘要:萌新模块关这一关是代码执行漏洞需要灵活的运用的命令执行函数在上一关的基础上又过滤了关键字看起来已经没啥思路了但仔细一看它居然取消了对分号的过滤这样一来就好办了继续上一关的曲线救国思路先请求传递一句话木马再用请求传递系统命令即可拿到进入页面 ctf.show 萌新模块 web15关, 这一...

    pf_miles 评论0 收藏0
  • ctfshow-WEB-web14( 利用数据库读写功能读取网站敏感文件)

    摘要:模块第关是一个注入漏洞绕过循环后可以拿到一个登录界面登录界面存在注入脱库以后会提示在另一个文件中利用数据库的文件读写功能读取文件内容即可拿到开局是一个循环需要传递参数参数对应的执行结果有四种前两个是字符串没啥用作者的目的应该是想让我们输出 ctf.show WEB模块第14关是一个SQL...

    番茄西红柿 评论0 收藏2637

发表评论

0条评论

最新活动
阅读需要支付1元查看
<