偶然发现CG-CTF上没做的web题里有道/x00,这不就是上次写到的利用/x00截断构造payload吗?
源码贴这:
php源码
条件很清楚,跟上次的php审计大同小异
1)有nctf参数
2)nctf为数字
3)nctf中有‘#biubiubiu’
考虑到上次的截断,这次的payload也很好构造:nctf=1%00%23biubiubiu
flag
#注意,这里的%23是#经过编码的结果,因为url会经过一次解码,#属于特殊字符
知识点 :ereg()函数的漏洞,遇到ascii码为0的字符自动认为结束,因此%00常用于截断
下面还有种方法:
ereg函数处理数组,直接返回Null,而Null不等于False
strpos()也处理不了数组,直接返回Null
那么payload为 nctf[]=%23biubiubiu即可(数组绕过)
有warning但还是出flag了
数组绕过不愧为居家常备的解题大法啊
网友评论