[攻防世界] easyphp writeup
知识点
- 科学计数法的妙用
- 9e9
- 指定结尾MD5值的爆破
- array_search() 函数用于在数组中搜索某个值,并返回对应的键名。如果找不到该值,则返回 false
- 默认值匹配:可以利用整数绕过字符串匹配机制
- strict=true时,数据类型和值都需要匹配,这时就不能绕过了
- json格式:{"key":"value"}
解题思路
题目地址:http://223.112.5.141:62116
访问地址发现是一个代码审计;内容已加注解
<?php
highlight_file(__FILE__);
$key1 = 0;
$key2 = 0;//通过GET方法获取输入的a、b的值
$a = $_GET['a'];
$b = $_GET['b'];//关于变量a的判断:a变量有值+转为整数后的值>6000000+字符串长度<3
if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){//关于b变量的判断:b变量存在+MD5编码后的后六位为8b184bif(isset($b) && '8b184b' === substr(md5($b),-6,6)){$key1 = 1;}else{die("Emmm...再想想");}}else{die("Emmm...");
}//将json格式的变量C转为数组
$c=(array)json_decode(@$_GET['c']);
//关于变量c的判断:c是数组+c['m']非整数+c['m']>2022+c['n']是数组且有两个元素+c['n'][0]也是数组+c['n']元素中有和"DGGJ"字符串值一样但是数据类型不一样的元素if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){$d = array_search("DGGJ", $c["n"]);$d === false?die("no..."):NULL;foreach($c["n"] as $key=>$val){$val==="DGGJ"?die("no......"):NULL;}$key2 = 1;}else{die("no hack");}
}else{die("no");
}//两个key值均为1的时候输出flag信息
//即需要a、b、c三个变量都满足对应条件
if($key1 && $key2){include "Hgfks.php";echo "You're right"."\n";echo $flag;
}?> 通过代码审计得到了a、b、c三个变量需要满足的条件
关于变量a的判断:a变量有值转为整数后的值>6000000字符串长度<3
乍看一下感觉很矛盾,但是这里容易忽略科学计数法
a=9e9 刚好能够满足需求关于b变量的判断:b变量存在MD5编码后的后六位为8b184b
这里需要进行md5随机数爆破了,这里需要写一个爆破的脚本(放在下面了)
通过爆破得到了一个值:
549696021039
md5(549696021039)=836dba5c7b23351df27a754d778b184b这里的值不唯一,如果不限制爆破成功结束的话应该有很多
b=549696021039
#随机数md5爆破配对固定后六位脚本
import hashlib
import randomtarget = "8b184b"while True:#随机产生12位数字并转为字符串 number = str(random.randint(10**11, 10**12 - 1))#将字符串编码为字节串:输入格式需要;创建md5对象并转为16进制形式输出md5_hash = hashlib.md5(number.encode()).hexdigest()if md5_hash[-6:] == target:print(f"找到匹配的数字: {number}")print(f"对应的 MD5 哈希值: {md5_hash}")break
关于变量c的判断:json格式:键值对样式;如{"key":"value"}c转换完后是数组c['m']非整数c['m']>2022c['n']是数组且有两个元素c['n'][0]也是数组 c['n']元素中有和"DGGJ"字符串值一样但是数据类型不一样的元素array_search(mixed $needle, array $haystack, bool $strict = false): int|string|false
默认值匹配; strict=true时必须数据类型和值完全匹配
array_search函数默认情况下是值匹配的:即字符串和整数比较时都转为整数进行比较
那么"DGGJ"和0是相等的综上所述
尝试构造c变量:{"m":"2023a","n":[[1],0]}有了上面的分析,尝试构造payload:
http://223.112.5.141:62116/?a=9e9&b=549696021039&c={"m":"2023a","n":[[1],0]}访问后成功得到了flag: cyberpeace{cf294792e8e191e4e4899d6f0c34c3fd}
tips:复制flag的时候千万别多复制结尾空格,要不然答案是不对的
10
相关文章:
[攻防世界] easyphp writeup
知识点 科学计数法的妙用 9e9 指定结尾MD5值的爆破array_search() 函数用于在数组中搜索某个值,并返回对应的键名。如果找不到该值,则返回 false 默认值匹配:可以利用整数绕过字符串匹配机制stricttrue时,数据类型和值都需要匹配…...
力扣热题100之LRU缓存机制
题目 请你设计并实现一个满足 LRU (最近最少使用) 缓存 约束的数据结构。 实现 LRUCache 类: LRUCache(int capacity) 以 正整数 作为容量 capacity 初始化 LRU 缓存 int get(int key) 如果关键字 key 存在于缓存中,则返回关键字的值,否则返…...
如何不规范的设置密码
上来就干 当我们使用服务器的时候,有时候需要一些非常简单的密码,来方便使用,但是自己完全可控的环境下,我们希望我们的密码足够的简单,比如,可能它的密码就是123,或者是1? 但是当你…...
数据安全与纵深访问控制:构建数字时代的安全防线
在当今数字经济蓬勃发展的时代,数据已成为与土地、劳动力、资本同等重要的生产要素,被誉为 “21 世纪的石油”。然而,数据在推动社会进步的同时,也面临着前所未有的安全威胁。从 Facebook 超 5.33 亿用户数据泄露,到万…...
分享全国数字人才技能提升师资培训班 第五期邀请函
线下(广州班): 大模型与AIGC多模态技术应用实战 线下(青岛班): Deepseek教学应用与智能体开发实战 线上班(十二大专题): DeepSeek大模型教学应用实战 大模型与AIGC技…...
Linux三剑客之grep命令使用教程
grep命令选项详解:从基础到进阶的实用指南 一、基本选项 1. -i:忽略大小写(Case Insensitive) 含义:搜索时不区分字母大小写。用法示例: 搜索包含"hello"的行,无论大小写:grep -i "hello" file.txt示例数据(file.txt):Hello World hello ther…...
)
Kotlin 极简小抄 P8(不可空类型、可空类型、注意事项、非空断言 !!)
Kotlin 概述 Kotlin 由 JetBrains 开发,是一种在 JVM(Java 虚拟机)上运行的静态类型编程语言 Kotlin 旨在提高开发者的编码效率和安全性,同时保持与 Java 的高度互操作性 Kotlin 是 Android 应用开发的首选语言,也可…...
【Spring AI集成实战】基于NVIDIA LLM API构建智能聊天应用:从配置到函数调用全解析
【Spring AI集成实战】基于NVIDIA LLM API构建智能聊天应用:从配置到函数调用全解析 前言 在人工智能应用开发领域,大语言模型(LLM)的集成能力至关重要。NVIDIA作为全球领先的GPU厂商,其LLM API提供了对Meta Llama-3.…...
git 删除某个远程库的分支
要删除 Git 远程仓库中的特定分支,可以通过以下步骤操作(综合多个文档中的核心方法): 1. 查看远程分支列表 首先确认目标分支是否存在: git branch -r # 显示所有远程分支(格式为 origin/分支名&am…...
Redis实战-缓存篇(万字总结)
前言: 今天结合黑马点评这个项目,讲下有关Redis缓存的一些内容,例如缓存更新策略,缓存穿透,雪崩和击穿等。 今日所学: 什么是缓存缓存更新策略缓存穿透缓存雪崩缓存击穿缓存工具封存 目录 1.什么是缓存…...
QT5.15 MacOS 打包指南
QT5.15 MacOS 打包指南 在 MacOS 上打包 QT5.15 应用程序需要几个步骤,以下是详细说明: 1. 使用 macdeployqt 工具 QT 自带的 macdeployqt 工具可以自动处理大部分依赖关系: macdeployqt YourApp.app -dmg这会: 自动复制所需…...
Nginx location匹配模式详解
以下是对 Nginx location 匹配模式的详细说明及代码示例,包含注释解析: 1. 精确匹配(Exact Match) 语法: location /path { ... } 优先级: 最高,仅当请求路径与 /path 完全一致时触发。 location /login {# 仅匹配…...
Vue 3 路由传参使用指南
目录 一、路由传参概述 二、动态路由参数(params) 2.1 基础用法 2.2 传递参数 2.3 获取参数 2.4 可选参数 2.5 多个参数与正则约束 2.6 多 params 的详细用法 多个可选参数的使用 路由配置 获取可选参数 三、查询参数(Query&#x…...
vscode使用ssh链接服务器
vscode SSH vscode先下载remote ssh的插件,随后在左边的菜单栏里选择远程。 点击新建连接,输入用户名和地址,-p参数指定端口 ssh ubuntu{ip} -p xxx 随后就可以正常连接了,这里使用普通用户的用户名密码,别用root。 配…...
企业批量处理刚需PrintPDF 网络财务办公打印 网页到 Office 一键转 PDF
各位软件小达人,咱今天来唠唠PrintPDF。你知道吗,这玩意儿在好多软件和工具里都有,主要干这俩事儿。 先说说发票打印辅助工具。这东西可牛啦,它能专门快速打印发票、送货单这些票据。还能自己设定纸张大小,像A5、140…...
Python学习笔记--Django 表单处理
注意:本笔记基于python 3.12,django 5版本,不同版本使用上有些许差别。 HTML表单是网站交互性的经典方式。下面介绍如何用Django对用户提交的表单数据进行处理。 HTTP 请求 HTTP协议以"请求-回复"的方式工作。客户发送请求时&am…...
Python - 文件部分
- 第 101 篇 - Date: 2025 - 05 - 26 Author: 郑龙浩/仟墨 Python - 文件部分 学习时间: 2025-05-19 文章目录 Python - 文件部分一 文件与路径1 文本文件2 二进制文件3 编码格式① 常见编码格式② 指定编码格式③ 最佳格式④ 处理编码错误 4 绝对路径5 相对路径基本写法返回…...
【监控】Blackbox Exporter 黑盒监控
Blackbox Exporter 是 Prometheus 生态系统中的一个重要组件,用于执行 黑盒监控(Blackbox Monitoring)。与传统监控直接访问系统内部指标不同,黑盒监控通过向目标服务发送请求并分析响应,来评估服务的可用性、性能和功…...
历年福州大学保研上机真题
2025福州大学保研上机真题 2024福州大学保研上机真题 2023福州大学保研上机真题 在线测评链接:https://pgcode.cn/problem?classification1 螺旋矩阵 题目描述 给定一个整数 n n n,要求打印出一个 n n n \times n nn 的螺旋矩阵。 例如ÿ…...
【RAG】ragflow源码亮点:文档embedding向量化加权融合
引言: 最近在看ragflow源码,其中有一个较为巧妙地设计:分别将 文字 、 标题 行向量化 之后,直接根据权重,进行加法运算,得到向量融合,增强了文本向量化的表示能力,这里开始讨论一下…...
大模型学习笔记day2 LoRA微调
LORA的核心思想基准模型不进行变化,我额外引入一部分参数来做专属内容处理,同时加上原有模型的推理能力,这部分新增加的的内容就是要训练出来的参数矩阵。 本征维度(Intrinsic Dimension):是指数据或空间中…...
Maven-概述-介绍安装
目录 1.项目对象模型 2.依赖管理模型 3.仓库:用于存储资源,管理各种jar包 4.本地仓库路径 5.Maven配置本地仓库 5.1在Maven路径下新建文件夹用于本地仓库存储 5.2 复制本地仓库路径 5.3 找到配置文件路径,使用VSCode方式打开 5.4 新…...
GitHub Page填写域名显示被占用
问题描述 在Github上使用github page搭建个人博客,在项目中的Settings->Pages页面里面填写个人的域名时,出现如下报错信息,显示域名被占用情况 The custom domain example.com is already taken. If you are the owner of this domain, c…...
js实现监听Ctrl/Cmd+C复制、Ctrl/Cmd+Z撤销 等快捷键
使用document.addEventListener监听keydown事件即可: 上代码: document.addEventListener(keydown, function(e) {// 判断是否按下 Ctrl/Cmd Zif ((e.ctrlKey || e.metaKey) && e.key z && !e.shiftKey) {e.preventDefault(); // 阻…...
java高级 -动态代理
动态代理的概念 动态代理是一种在运行时生成代理对象的机制,无需手动编写代理类。 代理就类似于中介公司,为明星置办各种前期准备。例如歌声需要开演唱会唱歌,那么此时就需要代理对象进行置办场地,设备,然后明星只需要…...
机器学习算法:线性回归
1. 基础概念 线性回归是一种用于建模连续型目标变量(如价格、销量、温度)与一个或多个特征变量(如面积、广告投入、时间)之间线性关系的统计方法。 核心思想:找到一条直线(或超平面)࿰…...
NotePad++编辑Linux服务器文档
参考资料: 参考文章 相关插件链接:链接: https://pan.baidu.com/s/1PBX9NY0pPz0sBqtfNxngXA 提取码: r3t7 概要: 通常简单的文件编辑,可以直接在Linux服务器,或客户端利用VIM命令编辑,编辑即可 但是过于复杂的文件,比如Mycat的XML编辑,就很不方便,需要利用Notepad++…...
常见小问题(Open Folder as PyCharm Project)
1.删除pycharm鼠标右键快捷键打开项目 winr键打开,输入regedit,运行注册器 找到下面的路径:计算机\HKEY_CLASSES_ROOT\Directory\Background\shell\PyCharm 删除即可...
第四十四节:目标检测与跟踪-模板匹配
一、引言 模板匹配的核心思想是通过在输入图像中搜索与预定义模板最相似的区域来定位目标。这种方法计算效率高、实现简单,特别适用于目标外观变化不大且背景相对简单的场景。本文将深入探讨模板匹配的原理、OpenCV中的实现方法、优化技巧以及实际应用案例。 二、模板匹配基础…...
Trae中使用mcp连接MariaDB
开启mariadb远程权限 -- 登录 MariaDB(如果需要密码,会提示输入) mysql -u root -p -- 切换到权限管理数据库 USE mysql; -- 创建允许从任何 IP 访问的 root 用户(推荐使用强密码) GRANT ALL PRIVILEGES ON *.* …...