攻防世界 easyphp

本题主要利用的知识点是php绕过

一、PHP代码分析

首先先看一下代码

 我们需要利用get方式上传3个参数a,b,c，这3个分别需要满足不同的条件:

a：设置a值；值大于6000000；长度不超过3；

b：设置b值；MD5值的后6位为'8b184b'；

c：是数组；c["m"]  不是数字，但要大于2022；c["n"]是个数组，有两个元素；c["n"][0]是个数组；还有一个条件后文分析

   二、变量分析

大家可以首先先了解一下一些简单的php绕过

http://t.csdnimg.cn/b7Oxh

（1）a的话直接设置为9e9（9*10**9），满足条件

（2）b的话，就需要用到MD5碰撞了，代码来源http://t.csdnimg.cn/TFoG1

import random
import hashlib
 
value = "8b184b"
while 1:
    plainText = random.randint(10**11, 10**12 - 1)
    plainText = str(plainText)
    MD5 = hashlib.md5()
    MD5.update(plainText.encode(encoding='utf-8'))
    cipherText = MD5.hexdigest()
    if cipherText[-6:]==value :
        print("碰撞成功:")
        print("密文为:"+cipherText)
        print("明文为:"+plainText)
        break
    else:
        print("碰撞中.....")

解出来的密文和明文分别为：842fc2485a1faa0681f78d3e098b184b,792616362347，所以b取值为792616362347

（3）c的话，首先是一个字典

c["m"]  设置为一个字符串，但字符串开头是数字。比如“2023aaa"。

c["n"] 设置为一个数组（有两个元素），c["n"] [0]设置成一个数组，比如["6"]。后面两个函数一个要求有"DGGJ"，另一个要求没有"DGGJ"。我们必须要绕过其中一个函数，array_search函数是可以绕过的，当函数将字符串与数字进行匹配时，会将字符串强制转换为整型进行比较，"DGGJ"转化为整型为0。所以另一个元素设置为0

三、结果