Note: 1) PHP中的数据类型
2) intval()函数所引发的溢出
3)is_numeric()函数所引发的SQL注入以及其它问题
|
考点 :PHP源码审计
进去之后发现就一句话,没什么用,抓包发现返回的数据包头部有一个文本文档,访问之后是一段PHP代码
<?php
$info = "";
$req = [];
$flag="xxxxxxxxxx";
ini_set("display_error", false);
error_reporting(0);
if(!isset($_POST['number'])){
header("hint:6c525af4059b4fe7d8c33a.txt");
die("have a fun!!");
}
foreach([$_POST] as $global_var) {
foreach($global_var as $key => $value) {
$value = trim($value); //trim() 函数移除字符串两侧的空白字符或其他预定义字符
is_string($value) && $req[$key] = addslashes($value); //addslashes() 函数在指定的预定义字符前添加反斜杠。这些字符是单引号(')、双引号(")、反斜线(\)与NUL(NULL字符)
}
function is_palindrome_number($number) { //回文函数
$number = strval($number); //将数组及类之外的变量类型转换成字符串类型
$i = 0;
$j = strlen($number) - 1;
while($i < $j) {
if($number[$i] !== $number[$j]) {
return false;
}
$i++;
$j--;
}
return true;
}
if(is_numeric($_REQUEST['number'])){ //判断传入的参数是否是数值
$info="sorry, you cann't input a number!";
}elseif($req['number']!=strval(intval($req['number']))){
$info = "number must be equal to it's integer!! ";
}else{
$value1 = intval($req["number"]); //intval()函数将字符串转化为数值
$value2 = intval(strrev($req["number"])); //strrev()函数反转字符串
if($value1!=$value2){
$info="no, this is not a palindrome number!";
}else{
if(is_palindrome_number($req["number"])){
$info = "nice! {$value1} is a palindrome number!";
}else{
$info=$flag;
}
}
}
echo $info;
?>
PHP代码审计之后,最后打印flag需要$_POST['number']满足以下条件:
1) 不能为空,且不能传递数值型数据
2)该数所反转的整数值应该和它本身的整数值相等
$value1 = intval($req["number"]); //intval()函数将字符串转化为数值
$value2 = intval(strrev($req["number"])); //strrev()函数反转字符串
$value1=$value2
3) 不能是一个回文数
构造$_POST['number']使其满足条件
不能传递回文数据,又让该数所反转的整数值应该和它本身的整数值相等,前后矛盾,
但可以利用intval()函数溢出进行解决问题,$_POST['number']=%002147483647(通过返回的数据包可知是32的操作系统)即可,intval(strrev(2147483647))发生溢出等于2147483647,即$value1=$value2=2147483647
另一种方法,利用科学计数法进行解决问题,$_POST['number']=%000e-0即可,即$value1=$value2=0