当前位置：首页 > news >正文

NSS [鹤城杯 2021]Middle magic

news 2026/4/3 2:00:50

NSS [鹤城杯 2021]Middle magic

源码直接给了。

粗略一看，一共三个关卡

先看第一关：

if(isset($_GET['aaa']) && strlen($_GET['aaa']) < 20){$aaa = preg_replace('/^(.*)level(.*)$/', '${1}<!-- filtered -->${2}', $_GET['aaa']);if(preg_match('/pass_the_level_1#/', $aaa)){echo "here is level 2";

(1条消息) PHP正则表达式_php 正则_无痕之意的博客-CSDN博客

正则表达式含义：

/^(.*)level(.*)$/：包含字符串"level"的字符串

/pass_the_level_1#/：字符串"pass_the_level_1#"

这种正则写法是存在缺陷的:.用于任意字符匹配并不包括换行符，而且^ $界定了必须在同一行，否则匹配不到，直接利用%0a（换行符）进行绕过。

所以我们GET传入aaa=%0apass_the_level_1#就行了。不对，不是这样。

如果直接传入#的话，#代表网页中的一个位置。其右面的字符，就是该位置的标识符。比如,http://www.example.com/index.html#print就代表网页index.html的print位置。浏览器读取这个URL后，会自动将print位置滚动至可视区域。

只有将#转码为%23，浏览器才会将其作为实义字符处理。

所以这一关的payload：

?aaa=%0apass_the_level_1%23

来到第二关：

if (isset($_POST['admin']) and isset($_POST['root_pwd'])) {if ($_POST['admin'] == $_POST['root_pwd'])echo '<p>The level 2 can not pass!</p>';// START FORM PROCESSING    else if (sha1($_POST['admin']) === sha1($_POST['root_pwd'])){echo "here is level 3,do you kown how to overcome it?";

我们需要POST两个变量，admin和root_pwd。要求两个变量不能弱相等并且两个变量的sha1值强相等。

我们可以sha1强碰撞或者数组绕过。方便一点，这里用哈希数组绕过，强碰撞payload太长了。

admin[]=1&root_pwd[]=2

来到第三关：

if (isset($_POST['level_3'])) {$level_3 = json_decode($_POST['level_3']);if ($level_3->result == $result) {echo "success:".$flag;

要求我们POST提交一个level_3变量，是json格式的。要满足level_3变量的result键的值与$result变量相等，但是$result变量在index.php中未定义，在result.php中是否定义，未知，所以$result变量具体值是多少我们无从得知。暂且将他当成未定义，那么值就是空，NULL。

这里据说用php的弱比较。以下是一些可能是原理的资料。

(1条消息) CTF（JOSN弱类型）_ctf json_sunshinelv99的博客-CSDN博客

(1条消息) JASON格式与布尔绕过弱类型比较_json数组绕过_王俊凯迷妹的博客-CSDN博客

实际测试证明，这里level_3只要POST了就行，值是多少都可以。因为空NULL和什么东西弱比较都是true，那么就验证了我们的猜想，$result变量未定义。

payload：

&level_3={“result”:“chxvjxkvjckvrfghrekj”}
&level_3={“result”:0} 
&level_3={“result”:} 
&level_3=

扩展阅读：json数组、json对象。

NSS [鹤城杯 2021]Middle magic

NSS [鹤城杯 2021]Middle magic

相关文章：

NSS [鹤城杯 2021]Middle magic

Sqlite安装配置及使用

参数估计（一）（点估计）

kubenetes-服务发现和负载均衡

docker的基本使用以及使用Docker 运行D435i

如何看待人工智能行业发展

linux中实现自己的bash

14 Go的类型转换

多线程概述

AR贴纸特效SDK，无缝贴合的虚拟体验

Leetcode hot 100

分类预测 | Matlab实现基于SDAE堆叠去噪自编码器的数据分类预测

矩阵运算_矩阵的协方差矩阵/两个矩阵的协方差矩阵_求解详细步骤示例

100天精通Python（可视化篇）——第108天：Pyecharts绘制多种炫酷词云图参数说明+代码实战

Spark 平障录

基于一致性算法的微电网分布式控制MATLAB仿真模型

Android 10.0 系统修改usb连接电脑mtp和PTP的显示名称

飞鼠异地组网工具实战之访问k8s集群内部服务

【Flink】窗口（Window）

读像火箭科学家一样思考笔记03_第一性原理（上）

镜像视界｜大模型+空间智能：公安视频系统迈入“目标持续掌控时代”——融合多视角三角测量、动态三维重构与行为认知引擎的无感定位体系

Arduino驱动OV7670图像传感器：底层时序与跨平台实现

5分钟搞定OpenClaw+Qwen3-14b_int4_awq：星图GPU镜像一键体验

Simple Web Serial：Web与Arduino的轻量级事件驱动串口通信库

GD32F407标准库工程创建全流程：从官网固件库下载到Keil5编译通过

如何高效使用SpiecEasi进行微生物网络分析：microeco的完整指南

LangChain实战：如何用ConversationalRetrievalQA构建带记忆的智能问答系统（附完整代码）

2026年最好的AI创业机会，就藏在你压根看不上的角落里

Agentic SOC：AI原生时代，安全运营的终极范式革命

RTX 3090上跑Isaac Lab强化学习：从克隆仓库到训练蚂蚁机器人保姆级避坑指南