[极客大挑战 2019]BuyFlag

0x00

打开WEB界面如下

大致浏览一下网页，在pay.php页面发现如下

这里我们知道了几个获取flag需要满足的条件，查看该界面源码发现如下

通过代码审计和以上条件综合得到如下：

• 1.必须为CUIT的学生(暂时不知道如何使用)
• 2.money需要传入100000000
• 3.password需要通过 ==404的验证，但是还需要绕过is_numeric函数(这里我们可以根据php弱类型语言的特性进行绕过，令password=404a)
  我们进行如下请求
  
  得到如下结果，可能我们还忽略了某些参数，导致第一个条件不会使用
  
  我们使用BurpSuite抓包，来获得更多的信息，得到结果如下
  
  发现cookie里面的数据有点奇怪，将它修改为1，重新请求得到如下
  
  发现返回结果变了，看来第一个条件是这样使用，但是新的问题是数字太长(这里应该是对位数进行了过滤)
  我们在开发的时候比较较长的整型时，一般都是将其看成字符串进行比较的
  所以我猜测money的比较是使用php的字符串比较函数strcmp()函数
  php的strcmp()函数存在一些安全问题，当传入的类型不是字符串类型，函数就会发生错误，显示报错信息后会return 0
  strcmp()函数正确的使用方法中 0 表示相同，所以我们可以以此来绕过位数过滤
  修改数据包如下(money修改为数组类型)，重新进行请求
  
  得到结果如下
  

0x01 总结

• 1.php弱类型语言 == 比较问题

php == 比较字符串与整型，会将字符串转化成整型，后再比较
字符串为字母开头转化为 0
字符串为数字开头转化为 开头的一系列数字，去掉字符串部分

• 2.php strcmp()函数安全问题

strcmp()函数进行比较时，当传入结果不为字符串时 return 0，与正确使用时两字符串相同的返回结果一样