知识点
strcmp() 漏洞:
int strcmp ( string $str1 , string $str2 )
参数 str1 第一个字符串,str2 第二个字符串,如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0;如果两者相等,返回 0。
可知,传入的期望类型是字符串类型的数据,但是如果我们传入非字符串类型的数据的时候,这个函数将会有怎么样的行为呢?实际上,当这个函数接受到了不符合的类型,这个函数将发生错误,但是在 php 5.3 之前,显示了报错的警告信息后,将 return 0,也就是说虽然报了错,但却判定其相等;
is_numeric() 漏洞:
is_numeric() 函数对于空字符%00,无论是 %00 放在前后都可以判断为非数值,而 %20 空格字符只能放在数值后。所以,查看函数发现该函数对对于第一个空格字符会跳过空格字符判断,接着后面的判断!
解题
在 pay.php 界面可以看到给出的规则:只有 Cuit 的学生才能购买 FLAG;
F12看到源码:
<!--
~~~post money and password~~~
if (isset($_POST['password'])) {
$password = $_POST['password'];
if (is_numeric($password)) {
echo "password can't be number</br>";
}elseif ($password == 404) {
echo "Password Right!</br>";
}
}
-->
要 password 等于404才能登录,但是 password 又不能是数字;
先用 BP 抓包,
显而易见,把 user 改成1,同时POST传入 password=404%20 试一下:
要付钱,因为这题的 Cookie 没有用上 PHPSESSID,那么这题猜一下逻辑就是直接将我们提交的 money 与要求的1000000比较,不存在记录的过程;
或者用科学计数法也是可行的:
