题目简述：

代码审计是网络安全的重要学科，不严格的代码很容易产生漏洞，包括不安全的函数、未经校验的参数输入、不安全的控件等，不安全的代码会产生一系列漏洞，包括注入、命令执行、XSS、文件包含等等。PHP作为“地球最好的语言”，简单方便，也是弱类型语言。其存在大量的漏洞，在多次安全竞赛中不断出现。

登录界面

查看一下源代码：

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>NSCTF</title>

</head>
<body>
<form name="form1" method="post" action="">
<table  border="0">
 
  <tr>
    <td>代码审计是网络安全的重要学科，不严格的代码很容易产生漏洞，包括不安全的函数、未经校验的参数输入、不安全的控件等，不安全的代码会产生一系列漏洞，包括注入、命令执行、XSS、文件包含等等。PHP作为“地球最好的语言”，简单方便，也是弱类型语言。其存在大量的漏洞，在多次安全竞赛中不断出现。<br><br><a href="http://www.nsfocus.com" target="_blank">学习资料</a>，<br><br>工具：无。<br><br></td>
  </tr>
  <tr>
    <td align="center">用户：<input type='text' name='user' /> <br />
    </td>
  </tr>
  <tr>
    <td align="center">账号：<input type='text' name='name'/><br />
    </td>
  </tr>
   <tr>
    <td align="center">密码：<input type='text' name='password' /> <br />
    </td>
  </tr>
   <tr>
    <td align="center">ID：<input type='text' name='id' /> <br />
    </td>
  </tr>
  <tr>
    <td align="center">
    <input name="login" type="submit" id="login" value="Check"/></td>
  </tr>
</table>

</form>

</body>
<!--

 if(isset($_POST['login']))
 {
    if(isset($_POST['user']))
    {
        if(@strcmp($_POST['user'],$USER))//USER是被隐藏的复杂用户名
        {
            die('user错误！');
        }
    }
    if (isset($_POST['name']) && isset($_POST['password']))
    {
        if ($_POST['name'] == $_POST['password'] )
        {
            die('账号密码不能一致！');
        }
        if (md5($_POST['name']) === md5($_POST['password']))
        {
            if(is_numeric($_POST['id'])&&$_POST['id']!=='72' && !preg_match('/\s/', $_POST['id']))
            {
                    if($_POST['id']==72)
                        die("flag{xxxxxxxxxxxxx}");
                    else
                        die("ID错误2！");
            }
            else
            {
                die("ID错误1！");
            }
        }
        else
            die('账号密码错误！');
    }
 }
    -->
</html>

大致分析一下，要拿到Flag需要经过五重if：

1. 第一个是strcmp函数，这里用到strcmp是为了限制输入的用户名，当输入的用户名与 $USER 的值一样时才能使得strcmp的返回值为0，否则非0，就会进入这个if，导致die，脚本终止。这里涉及到PHP中strcmp函数的漏洞。（细节点击链接）
要想办法绕过这个if，就要使得strcmp返回0。PHP中，当strcmp中的一个参数为数组类型时，PHP会发出警告并且返回NULL，也就是0。

示例

所以我们只需要将 $_POST['user'] 变为数组类型，根据网上资料提示，应该用burpsuite抓包，然后修改POST参数，如下：

原参数：user=&name=&password=&id=&login=Check
修改后：user[]=1&name=&password=&id=&login=Check
提交试一下：

得到错误提示

根据前面的PHP代码，可以知道，现在已经绕过了strcmp。

2、3. 接下来是对 name 参数和 password 参数的认证，连续两个 if 都与它们有关，首先需要它们“不相等”，但是需要它们的md5值相同，所以，这里还是用到第 1 步的方法，当md5函数中的参数为数组类型时，函数会发出警告并且返回NULL，所以只要用和第一步一样的方法，将 name 参数和 password 参数都转换为数组类型，自然不会相同，并且 md5 返回值都是NULL。如下：
原参数：user[]=1&name=&password=&id=&login=Check
修改后：user[]=1&name[]=1&password[]=2&id=&login=Check

示例
可以看到，已经绕过了这两个if。
4、5.接下来需要对参数 id 的验证进行绕过也是分为两个 if ，第一个 if ，is_numeric函数检测 id 是否为数字（整型和字符型的数字都算），并且要求 id 不等于 ‘72’， 还要求 id 中不能出现 空格、制表符之类的空白符号，防止攻击者输入空白符加数字从而绕过前面两个条件。解决办法很简单，直接在 id 框输入 072 就行了。至此已经完成了所有的绕过。

最终结果：

Flag

小结：

主要是利用了 PHP 中函数参数类型错误时的返回值的漏洞，只要对 PHP 理解比较深的话，就可以很容易做出来，对于初学者来说比较难发现。最后感谢大毛腿@Dane的帮助，没他做不出来。