网站建设原因分析,涟源市建设局网站,球队排名榜实时排名,wordpress 数据转义一、访问在线靶场ctfshow
ctf.showhttps://ctf.show/challenges如下图所示#xff0c;进入_萌新赛的web1问题#xff1a;
如上图所示#xff0c;页面代码提示id1000时#xff0c;可以查询到flag#xff0c;进行如下尝试#xff1a; 如下图所示#xff0c;传入参数id1时…一、访问在线靶场ctfshow
ctf.showhttps://ctf.show/challenges如下图所示进入_萌新赛的web1问题
如上图所示页面代码提示id1000时可以查询到flag进行如下尝试 如下图所示传入参数id1时显示出了标题(title)和内容(content)。 如上图所示可以看到查询sql语句尝试使用id1 or id 1000截图如下 如上图所示只显示了id1时的内容再看sql语句order by id limit 1对id进行了排序且只输出第1条的title和content。尝试传入参数id2时title和content都没显示出来截图如下 尝试传入参数id2 or id1000title和content显示出来了id1000时的title和content截图如下 这这这为何显示了flag❓
order by id limit 1为何显示出来了id1000的title和content呢
本来想着让order by id limit 1失效没想到flag显示出来了。
尝试传入参数id2 or id1000 --如截图所示也显示出来flag--在数据库中是注释掉后面一行内容即使order by id limit 1失效这里的在浏览器访问地址中表示空格传入sql语句中是空格。 尝试传入参数id2 || id1000同上如截图所示也显示出来flag。 尝试传入参数id2 union select * from article where id1000如截图所示也显示出来flag。 尝试传入参数id1000如截图所示也显示出来flag。 尝试传入参数id1000如截图所示也显示出来flag。 尝试传入参数id~~1000~在sql语句中表示取反~~1000是取反后再取反即还是原数1000如截图所示也显示出来flag。 尝试传入参数id0b1111101000即二进制数1000如截图所示也显示出来flag。 尝试传入参数id01750即八进制数1000为何未显示出来flag 尝试传入参数id0x3e8即十六进制数1000如截图所示也显示出来flag。 尝试传入参数id20*50即20乘以50运算等于1000如截图所示也显示出来flag。 尝试传入参数id500/0.5即500除以0.5运算等于1000如截图所示也显示出来flag。 尝试传入参数id0000^1000即0000异或1000运算等于1000如截图所示也显示出来flag。 尝试传入参数id0000|1000即0000或1000运算等于1000如截图所示也显示出来flag。 尝试传入参数id1253即125的二进制左移3位后后面补0等于1000如截图所示也显示出来flag。 尝试传入参数idpower(10,3)即10的3次方运算等于1000如截图所示也显示出来flag。 尝试传入参数id1e3即科学计数法10的3次方运算等于1000如截图所示也显示出来flag。 尝试传入参数id/**/1000/**/在sql语句中星号之间是注释说明如截图所示也显示出来flag。 尝试传入参数id/*!1000*//*!1000*/在sql语句中是内联注释如截图所示也显示出来flag。 二、$_GET[id]获取到的参数是String类型的
如下图所示尝试传如参数id1000或id8时$_GET[id]获取到的id数值类型是String类型的。 所以想要输出id1000时的结果需要查看intval()的运行结果且需要查询sql能正常执行。
比如传入参数idid2 or id1000 --intval(id2 or id1000 --)的运行结果是2且sql执行结果是查询出了id2 or id1000的结果。
比如传入参数id1000intval(1000)的运行结果是0查询sql时id1000直接查询出id1000的结果。
比如传入参数id01750intval(01750)的运行结果是1750所以未能执行sql查不出来flag
另外就是id传入的参数是字符串intval()转为整数时是一位一位转换为整数时遇到非数字值时则停止若没有数值则直接返回0所以intval(id2 or id1000 --)转换为整数时是2。 三、intval()函数尝试
再返回来看看该题传入参数id1000时报错审计代码使用intval($id)函数进行条件判断菜鸟教程查询该函数解释如下 被这个intval()函数搞得晕头转向了 在csdn的InsCode编辑其中中进行了如上尝试感觉貌似知道了intval函数啥意思又被菜鸟教程的实例搞晕了继续尝试怎么都没法理解想出来的奇葩理由 对于这个函数神奇的表现猜测如下
intval()函数返回的是十进制的整数。
第一个参数可以是数字、可以是字符串。
第二个参数是指定第一个参数的数字类型二进制、八进制、十六进制......可以指定也可以不指定不指定时默认为十进制若是0将会对第一个参数做合法性校验。
第一个参数若为字符串转换为十进制时是一位一位来计算的若和第二位参数指定的类型不符时遇到不合法位前也会一位一位计算出第二位参数指定进制的十进制结果若没有指定第二个参数那么默认按十进制转换第一个参数若为数值时第二个参数指明的类型是否正确你就别给我胡强了的感觉。
另外还有个特殊情况就是第二个参数可以是0是0时会判断第一个参数是不是满足数据类型要求比如二进制0b10二进制以0b开头数值部分只能包含1或0八进制072八进制以0开头数值部分只能包含0至7这8个数字十六进制0xa8十六进制以0x开头数值部分只能包含0至9a至f若不满足数据类型要求则直接报语法错误
