CTF 中的一些常见骚操作(可以没有,但不能不会)
0X01:前言
近期刷了挺多的 ctf 题,总结了一些 ctf 中常见的骚姿势。
0X02:来啦来啦,骚姿势总结
一. 弱类型比较
ctf 中见怪不怪了,经常已经知道题目要考察的是什么知识了,传参都要用个弱类型比较来为难一下我们。
‘=’,‘’,‘=’一个等于是赋值,两个等于是将两个变量转相同的类型再比较,三个等于先比较变量类型是否相同再比较值。
非相同类型比较如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换成数值并且比较按照数值来进行
先看几组比较结果:
当我们用字符串与数值类型比较时会将字符转变为数值,与 C 语言不同的是,他这里并不会转变为 ascii 码,而是将开头的数字转为对应的数值,开头没有数字则转为 0,”0e123456”==”0e456789”相互比较的时候,会将 0e 这类字符串识别为科学技术法的数字,0 的无论多少次方都是零,所以相等。
PHP 手册是这么说明的:
当一个字符串欸当作一个数值来取值,其结果和类型如下:如果该字符串没有包含’.’,‘e’,'E’并且其数值值在整形的范围之内 该字符串被当作 int 来取值,其他所有情况下都被作为 float 来取值,该字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值为 0。
0X03 弱类型比较的利用
1.md5 绕过,当传入的参数哈希值为 0e 开头时有可能触发。2.json 绕过,当我们不知道键的名字时可以尝试传入 0,尝试能否满足形似 0==“admin”3.array_search is_array 绕过。4.strcmp 漏洞绕过,要求 PHP 版本<5.3
0X04 总结
正如所说,我们和开发最大的不同就是学习这些冷门的奇技淫巧。还有就是,代码功底正是很重要,后悔浪费了前两年,走马观花式学习,现在开始恶补 java 和 PHP。最后附上一句正在某互联网大厂做 PM 的前辈对我说过得的话:互联网是现在为数不多的可以靠努力改变现状的机会,年轻的时候不拼一把,简直是浪费。
耳听为虚,眼见为实,用代码说话
1.MD5 绕过
这边传入的值不一样,md5 值也不同但是都是 0exxxxxx 格式的,在比较前做类型转换时会被当作科学计数法值为 0 所以 bypass 成功
2.json 绕过
输入一个数组进行 json 解码,如果解码后的 message 与 key 值相同,会得到 flag,主要思想还是弱类型进行绕过,我们不知道 key 值是什莫,但是我们知道一件事就是它肯定是字符串,这样就可以了,上文讲过,两个等号时会转化成同一类型再进行比较,直接构造一个 0 就可以相等了。最终 payload message={“key”:0}
3.array_search is_array 绕过
这段代码的意思就是先判断是不是数组,然后在把数组中的内容一个个进行遍历,所有内容都不能等于 admin,类型也必须相同,然后转化成 int 型,然后再进行比较如果填入值与 admin 相同,则返回 flag,如何绕过呢?
基本思路还是不变,因为用的是三个等于号,所以说“= =”号这个方法基本不能用,那就用第二条思路,利用函数接入到了不符合的类型返回“0”这个特性,直接绕过检测。所以 payload:test[]=0。
在 PHP 手册中,in_array()函数的解释是 bool in_array ( mixed needle,arrayhaystack [, bool strict=FALSE]),如果 strict 参数没有提供或者是 false(true 会进行严格的过滤),那么 inarray 就会使用松散比较来判断 needle 是否在 $haystack 中。当 strince 的值为 true 时,in_array()会比较 needls 的类型和 haystack 中的类型是否相同。
4.strcmp 漏洞绕过(PHP 版本<5.3)
语法:strcmp(string1,string2)
返回值:0 - 如果两个字符串相等 0 - 如果 string1 小于 string20 - 如果 string1 大于 string2 漏洞:在 PHP5.3 之前,传入非 String 类型的会返回 0,即相等。
为了回馈读者,我整理了一些 CTF 相关的资源供大家阅读,【点我查看文档】,获取更多网络安全架构资料
我是一名网络安全渗透师 2021.06.18 加入
关注我,后续将会带来更多精选作品,需要资料+wx:mengmengji08
评论