---恢复内容开始---
实验吧的一道题php审计题。拉下来写一写。
http://ctf5.shiyanbar.com/web/PHP/index.php
打开之后说have fun
那就抓包来看看吧
嗯...没啥收获,放在repeater里面看看
是这样的,根据response反馈的信息,我们可以看见 hint(提示)
那就打开它看看吧
代码审计走一波。
<?php $info = ""; $req = []; $flag="xxxxxxxxxx"; ini_set("display_error", false); error_reporting(0); if(!isset($_POST['number'])){ //注意这里post请求 1.不能为空 header("hint:6c525af4059b4fe7d8c33a.txt"); //文件头添加hint提示。 die("have a fun!!"); // 直接就die了 } foreach([$_POST] as $global_var) { //遍历数组 foreach($global_var as $key => $value) { $value = trim($value); //trim() 函数移除字符串两侧的空白字符或其他预定义字符。 is_string($value) && $req[$key] = addslashes($value); } } //global $var是外部$var的同名引用或者指针。 //函数 function is_palindrome_number($number) { $number = strval($number); //本函数可将数组及类之外的变量类型转换成字符串类型。 $i = 0; $j = strlen($number) - 1;//strlen() 函数返回字符串的长度 while($i < $j) { if($number[$i] !== $number[$j]) { return false; } $i++; $j--; } return true; } //判断是否为数值型 if(is_numeric($_REQUEST['number'])){ $info="sorry, you cann't input a number!"; }elseif($req['number']!=strval(intval($req['number']))){ $info = "number must be equal to it's integer!! "; }else{ $value1 = intval($req["number"]); $value2 = intval(strrev($req["number"])); //strrev() 函数反转字符串。 if($value1!=$value2){ $info="no, this is not a palindrome number!"; }else{ //判断回文数 if(is_palindrome_number($req["number"])){ $info = "nice! {$value1} is a palindrome number!"; }else{ $info=$flag; } } } echo $info;
如果要拿flag,需要满足以下条件:
1.不为空,且不能是一个数值型数字,包括小数。(由is_numeric函数判断)
2.不能是一个回文数。(is_palindrome_number判断)
3.该数的反转的整数值应该和它本身的整数值相等。即:
4.post个number.