8、XCTF simple

小宁听说php是最好的语言,于是她简单学习之后写了几行php代码。
打开网站，就看到了下面这个

<?php
show_source(__FILE__);         //查看源文件
include("config.php");          //包含config,php
$a=@$_GET['a'];                  //变量a通过参数a get方式获取
$b=@$_GET['b'];                  //变量b通过参数b get方式获取
if($a==0 and $a){                //变量a的值=0，用md5方式来比较echo $flag1;                     //输出flag1
}
if(is_numeric($b)){                      //检测变量b是否为数字串exit();                                        //是的话，并退出脚本
}
if($b>1234){                              //当变量b大于1234echo $flag2;                            //输出flag2
}
?>

F12，没搞头。
上代码审计，构造payload。

http://111.200.241.244:52351/?a=0e1&b=1235a

基础知识：
is_numeric — 检测变量是否为数字或数字字符串
exit — 输出一个消息并且退出当前脚本
0e1的MD5值是0，1235a是字符串，直接就绕过is_numeric的检测，并且大于1234。

8、XCTF simple_php相关推荐

10、XCTF xff_referer
X老师告诉小宁其实xff和referer是可以伪造的. 拦截数据包,修改数据包. X-Forwarded-For: 123.123.123.123 这个必须加在http的请求头. 得到: 必须来自ht ...
XCTF联赛“出海计划”开启，八月新加坡站国际赛蓄势待发
作为目前全国最高技术水平和最具影响力的网络安全技术对抗赛事,8月24日-25日,XCTF联赛将联合亚洲地区历史最悠久.影响面最广的安全大会HITBSecConf,在新加坡举办HITB GSEC CTF ...
全！CTF靶场、渗透实战靶场总结 (适合收藏)
CTF靶场.渗透实战靶场总结 (适合收藏) CTF靶场:CTF刷题,在校生备战CTF比赛,信安入门.提升自己.丰富简历之必备(一场比赛打出好成绩,可以让你轻松进大厂,如近期的美团杯): 渗透实战靶场: ...
XCTF国际联赛总决赛八大看点抢先解读！
7月16日,第二届XCTF国际联赛总决赛暨网络安全技术论坛将在北京国际会议中心拉开帷幕.比赛即将打响,比赛和现场活动细节曝光,引发国内外网络安全行业人士广泛关注,下面就来提前揭秘现场的八大看点. 看点 ...
第七届XCTF国际网络攻防联赛总决赛战队巡礼！
Super Guesser国际联合战队创建于2020年,成立伊始便在HITCON.SECCON.Dragon CTF等大型国际CTF赛事中大放异彩,接连斩获赛事冠军.2021年,Super Guess ...
1月全球CTF比赛时间汇总来了！
● 从事网络安全行业工作,怎么能不参加一次CTF比赛了! 小编作为一个CTF比赛老鸟,以每次都能做出签到题为荣! 下面给大家分享一下1月份CTF比赛时间,比赛按时间先后排序,国内国外的都有哦!临近新年 ...
逐鹿强网，金陵折桂，四届老将0ops战队如何称雄
第四届"强网"拟态防御国际精英挑战赛于2021年11月12日闭幕.本届大赛由中国工程院.江苏省人民政府.国家互联网信息办公室网络安全协调局.科学技术部高新技术司作为指导单位,南京市 ...
赛宁网安-r3kapig联合战队冲击DEF CON CTF 2022总决赛
1993年,DEF CON黑客大会正式创办,第一届DEF CON CTF则始于1996年,是全球同类赛事中最具影响力的赛事之一,在圈内有着"黑客世界杯"的美誉. DEF CON C ...
惊喜警报！Mini XMan线上快闪活动即将来袭！
提问: XMan Talk+限时攻防挑战赛+丰厚的奖品盲盒=??? 答: 一场好玩有趣的Mini XMan线上快闪活动!!!(超大声 2022年8月26日19:00-21:00,Mini XMan线上 ...

8、XCTF simple_php

8、XCTF simple_php相关推荐

最新文章

热门文章