当前位置：首页 > news >正文

ctfshow-web11（session绕过）

news 2025/12/23 16:36:42

php代码审计：

function replaceSpecialChar($strParam){$regex = "/(select|from|where|join|sleep|and|\s|union|,)/i";return preg_replace($regex,"",$strParam);}

首先定义了一个函数，主要是使用preg_replace函数对我们提交的内容进行正则匹配

该函数的用法：

preg_replace (正则表达式, 替换成什么内容, 目标字符串)

这里如果匹配到regex里面的内容就会将其替换为空，以此来替换掉一些SQL关键字和特殊字符，防止SQL注入。

if(strlen($password)!=strlen(replaceSpecialChar($password))){die("sql inject error");

strlen() 函数用来返回字符串的长度，如果提交的password和经过正则匹配替换后的字符串长度不相等，就会输出 sql inject error，die函数来终止脚本并显示错误消息。

我们可以验证一下：输入 password 为 select

果然报我们预期的错误

继续看后面的代码：

if($password==$_SESSION['password']){echo $flag;

该代码通过比较输入的密码和 $_SESSION['password'] 的值来进行身份验证，这意味着只有当两者完全相等时，才会显示 $flag 的值。

$_SESSION["Session名称"] 用来读取Session变量信息

当在代码中设置了session时，在http请求的消息头中会携带一个名为PHPSESSID的cookie，其值是一个32位16进制的字符串。每个客户端向服务器请求时都会产生一个不同的值，如果清除掉浏览器的cookie，再次刷新页面将会重新设置一个PHPSESSID的值。服务端接收到这个cookie，根据其值在服务器中找到对应的session文件，从而实现保持与客户端链接状态的信息，其中session中存储着序列化的session键值等信息。

可以看到，我使用不同浏览器请求，它的session值都是不一样的

试了一下，如果直接将password改为抓到包里的session值是不行的

由于这里的限制并不严格，我们通过输入空密码，抓包后将session值删除，即可实现绕过

发包成功后直接回显flag

ctfshow{3da8ca9d-3db3-4821-aa65-570242968a50}

ctfshow-web11（session绕过）

相关文章：

ctfshow-web11（session绕过）

状态模式：对象状态的变化

解耦常用方法

根据二叉树创建字符串--力扣

代码事件派发机制（观察者模式）

微服务技术栈-Nacos配置管理和Feign远程调用

操作系统 OS

基于ffmpeg给视频添加时间字幕

爬虫基础知识点快速入门

解释器模式行为型模式之五

2023年中国汽车座舱行业发展现状及趋势分析：高级人机交互（HMI）系统将逐步提升[图]

常见的通用型项目管理软件推荐

手机总是提醒系统更新，到底要不要更新呢？

什么是API

RedissonClient 分布式锁处理并发访问共享资源

Hadoop-2.5.2平台环境搭建遇到的问题

基于WTMM算法的图像多重分形谱计算matlab仿真

VR全景展示带来旅游新体验，助力旅游业发展！

Xcode 15 编译出错问题解决

基于指数趋近律的机器人滑模轨迹跟踪控制算法及MATLAB仿真

挑战杯推荐项目

多场景 OkHttpClient 管理器 - Android 网络通信解决方案

Python爬虫（二）：爬虫完整流程

大学生职业发展与就业创业指导教学评价

Android第十三次面试总结（四大组件基础）

C#学习第29天：表达式树（Expression Trees）

React从基础入门到高级实战：React 实战项目 - 项目五：微前端与模块化架构

相关类相关的可视化图像总结

Tauri2学习笔记

AWS vs 阿里云：功能、服务与性能对比指南