【攻防世界】web | easyphp详细题解WP

## 今天我们来解析一道【攻防世界】中的web题--easyphp

首先我们打开这道题的场景:

发现这道题一上来就给了我们一大段的php代码，很明显这是一道代码审计题，因此我们需要看懂这段代码的意思后来构造符合代码的payload。
大概审完代码后我们知道只有当\(key1和\)key2均为1时才会包含Hgfks.php并输出flag，因此这是一道设计PHP弱类型比较、函数行为差异与逻辑矛盾点的题。

首先我们审计代码，发现一共有三个参数：

$a = $_GET['a'];
$b = $_GET['b'];
$c=(array)json_decode(@$_GET['c']); 

说明需要有三个参数来构造payload，即应该写成(?a=xxxxx&b=xxxx&c=xxxxx)的形式。

1.审计$a的条件代码语句：

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)
//这行代码先是查看a的值是否为空。a的值不为空后，将a值使用intval()函数转化为整数并大于6000000，然后又要求a
//值的长度小于等于3
//一方面要求值大于6000000，另一方面又要求a值的长度小于等于3，这似乎很矛盾~~ 但却可以通过PHP中的科学计数法
//来轻松解决（即1e7、2e7、3e7等）

**为啥PHP科学计数法可以解决这个矛盾点？**
PHP对科学计数法格式的字符串有着特殊的解析规则
1.科学计数法的格式：数字e数字(如1e7)，表示1×10^7=10000000
2.intval("1e7"):PHP会将它解析为整数10000000（大于6000000）
3.sttrlen("1e7")=3，符合if语句对a值的判断

2.审计$b的条件判断语句：

if(isset($b) && '8b184b' === substr(md5($b),-6,6))
//这行代码同样先是判断b值是否为空。b的值不为空后，接着将b值转换为MD5哈希值后取最后六位，并要求最后六位严格等于 '8b184b' 这个字符串

**那如何获取到MD5哈希值最后六位为 8b184b 这个字符串的值呢**
这里我们使用python代码来获取：

import hashlib 
for i in range(1000000): ##遍历0到1000000的数字足够找到结果b_str = str(i) ##将数字转化为字符串，MD5需要字符串输入md5_result = hashlib.md5(b_str.encode('utf-8')).hexdigest() ##计算MD5哈希值(utf-8编码)last_md5 = md5_result[-6:]  ##取最后的六位进行判断if last_md5 == '8b184b':print(f"满足条件的数字为:{b_str}")print(f"完整的md5值为:{md5_result}")break
##运行代码得到b=53724

补充①：substr(md5(\(b),-6,6))的具体含义：1.md5(\)b):对b值进行MD5哈希运算，MD5哈希会把任意长度的输入，转化为固定的32位的16进制字符串（比如：
$b=53724，转为MD5后位xxxx8b184b。之所以会要求取最后的六位，而不是整个32位MD5哈希值也是为了让
题目可解。
因为完整的MD5哈希值进行枚举的话，组合数高达32×16≈10^38，不可能完成。失去题目的考察意义，而规定取
最后的6位，组合数虽然也有16×6= 16777216（约 1600 万），但实际枚举的过程中b的值是数字（没有限制b值
的类型）。而数字枚举最快，并且MD5值分布均匀，大概在[0-100万]的范围就能找到，普通电脑枚举 30秒内就
能出结果。
2.substr(......,-6,6)):substr是 PHP 的字符串截取函数，第一个参数：要截取的字符串（这里是 MD5 哈希值）
第二个参数：起始位置（-6表示「从字符串末尾倒数第 6 位开始」） 第三个参数：截取长度（6表示截取 6 个字
符）→ 最终效果：取 MD5 哈希值的最后六位

3.审计$c的条件判断语句：

通过审计我们知道c的值是一个数组格式的json值，包含m和n两个参数，我们先来说m这个参数：

$c=(array)json_decode(@$_GET['c']); //传入的 c 参数是 GET 字符串，必须是合法的 JSON 格式（否则 json_decode 返回 null）。(array)强制将json_decode的结果转化为关联数组的形式，@：抑制错误（比如 c 参数不传时，不报错）
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022) //首先判断c的值是否为数组（只要 c 是合法 JSON 对象/数组，转成数组后就满足），满足后要求$c["m"]的值不能是 “纯数字”（包括整数、浮点数、科学计数法），并且要大于2022。
//满足上述条件的方法就是给数字加非数字后缀（如 2023a）：
// is_numeric("2023a")=false（非纯数字）
// 2023a在比较时会隐式转成 2023（>2022）

​ 再来说n这个参数：

if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))
//首先判断$c["n"]的值是否为数组，满足后要求$c["n"]这个数组的长度必须为2，而且第一位还得是数组。因此便可以构造n为[[],0]

​ 接下来我们看满足条件后的要求吧：

 $d = array_search("DGGJ", $c["n"]); $d === false?die("no..."):NULL; //必须找到DGGJ（$d≠false）foreach($c["n"] as $key=>$val){ // 遍历n时，不能有元素严格等于DGGJ$val==="DGGJ"?die("no......"):NULL;}

​ **所以这里这里的矛盾点就是要保证array_search不为false（即找到DGGJ）,但在遍历n的时候又不能又元素严格等于DGGJ**
​ 因此这里的绕过思路便是利用PHP array_search 的弱类型匹配：
​ array_search默认是非严格匹配机制（第三个参数 \(strict=false），会触发隐式类型转换： ​ array_secrch函数的格式：array_search(\)needle, $haystack, \(strict=false) ​ ①.\)strict=false（非严格匹配）：不要求 “值 + 类型” 都一致，PHP 会先尝试将（搜索值）和haystack（数组）的元素
​ ②. $strict=true（严格匹配）：必须 “值 + 类型” 都一致（===），才会匹配成功；
​ ③.本题中没有传第三个参数，所以用默认的非严格匹配。

回到本题，所以PHP执行时的步骤如下：
①.当搜索字符串"DGGJ"时，PHP 会从字符串开头找数字字符，找到就转成对应整数；如果开头没有数字，直接转成0(例如："123abc" → 123；"abc123" → 0；"DGGJ" → 0（无任何数字)
②.数组中的0会和"DGGJ"发生弱比较：0 == "DGGJ" → 结果为 true；
③.但0 === "DGGJ" → 结果为 false（严格匹配，类型不同），使得遍历时找不到DGGJ
因此结合 m 和 n 的合法值，c 参数的 JSON 格式为：

{"m":"2023a","n":[[],0]} //注意：JSON 中不能有空格（比如{"m": "2023a"}有空格，会导致 json_decode 失败），必须紧凑写

同时也要注意：
1.不是array_search函数 “主动转”，而是 PHP 的弱类型比较机制自动触发的；
2.转换的触发条件是 “搜索值和数组元素类型不同（字符串 vs 整数）”，且 “非严格匹配”；
3.转换方向是「字符串转整数」，而非「整数转字符串」（这是 PHP 的固定规则)

所以本题的最终payload为：

?a=1e7&b=53724&c={"m":"2023a","n":[[],0]}

输入后便可成功拿到flag:

​