CTF-文件包含学习

WEB-17

WEB-18 

CTF-强弱类型的绕过

常见的0E开头的md5值和原值：

CTFSHOW

WEB-17

通过请求包查看到服务器为nginx，然后尝试查看一下/etc/passwd文件。

访问成功说明可以访问内网文件，然后尝试读取日志文件中的信息。nginx的日志文件为/var/log/nginx/access.log

发现日志文件中记录了UA，所以在数据包中写入系统执行命令，所以当我们在UA中写入系统执行命令的时候，再去包含，会当做php来执行。

发现存在着indes.php 和36d.php两个文件，查看36d.php文件中的内容。

WEB-18 

 增加了对file的过滤。

同样日志文件中记录的是UA的信息，还是像上一个题的思路去尝试在UA中添加系统执行命令。

 还是查看到了index和36d两个php文件。再次尝试读取一下。

上面的这个方法通杀web17-21，还可以在UA中写入一句话木马，直接用蚁剑来连接。

CTF-强弱类型的绕过

以ctfshow web 5为例

<?php
        $flag="";
        $v1=$_GET['v1'];
        $v2=$_GET['v2'];
        if(isset($v1) && isset($v2)){
            if(!ctype_alpha($v1)){
                die("v1 error");
            }
            if(!is_numeric($v2)){
                die("v2 error");
            }
            if(md5($v1)==md5($v2)){
                echo $flag;
            }
        }else{
        
            echo "where is flag?";
        }
?>

 这里有三个条件，当三个条件同时满足的时候，才会显示答案，首先是ctype_alpha函数。

ctype_alpha(string$text):bool

查看提供的string，$text里面的所有字符是否只包含字符。在标准的C语言环境下，字母仅仅是指[A-Za-z]，ctype_alpha()等同于(ctype_upper($text)|| ctype_lower($text))如果$text是简单的单个字符串还好，但是在其他语言中有些字母被认为既不是大写也不是小写。

如果在当前语言环境中$text里的每个字符都是一个字母，那么就返回TRUE，反之则返回FALSE。

所以v1参数中的内容必须全部都是字符。

其次是is_numeric() 函数。is_numeric() 函数用于检测变量是否为数字或数字字符串。如果指定的变量是数字和数字字符串则返回 TRUE，否则返回 FALSE，注意浮点型返回 1，即 TRUE。

然后两个变量经过md5之后的值还需要相等。

PHP在处理哈希字符串时，它把每一个以“0E”开头的哈希值都解释为0
所以只要v1与v2的md5值以0E开头即可。这样最后php解析到的v1和v2的md5值就都是0了。

常见的0E开头的md5值和原值：

转载于： 常见的MD5碰撞：md5值为0e开头_烟雨天青色的博客-CSDN博客_md5值为0e开头

0e开头的md5和原值：
QNKCDZO
0e830400451993494058024219903391
240610708
0e462097431906509019562988736854
s878926199a
0e545993274517709034328855841020
s155964671a
0e342768416822451524974117254469
s214587387a
0e848240448830537924465865611904
s214587387a
0e848240448830537924465865611904
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s1885207154a
0e509367213418206700842008763514
s1502113478a
0e861580163291561247404381396064
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s155964671a
0e342768416822451524974117254469
s1184209335a
0e072485820392773389523109082030
s1665632922a
0e731198061491163073197128363787
s1502113478a
0e861580163291561247404381396064
s1836677006a
0e481036490867661113260034900752
s1091221200a
0e940624217856561557816327384675
s155964671a
0e342768416822451524974117254469
s1502113478a
0e861580163291561247404381396064
s155964671a
0e342768416822451524974117254469
s1665632922a
0e731198061491163073197128363787
s155964671a
0e342768416822451524974117254469
s1091221200a
0e940624217856561557816327384675
s1836677006a
0e481036490867661113260034900752
s1885207154a
0e509367213418206700842008763514
s532378020a
0e220463095855511507588041205815
s878926199a
0e545993274517709034328855841020
s1091221200a
0e940624217856561557816327384675
s214587387a
0e848240448830537924465865611904
s1502113478a
0e861580163291561247404381396064
s1091221200a
0e940624217856561557816327384675
s1665632922a
0e731198061491163073197128363787
s1885207154a
0e509367213418206700842008763514
s1836677006a
0e481036490867661113260034900752
s1665632922a
0e731198061491163073197128363787
s878926199a
0e545993274517709034328855841020

所以上面的题同时满足条件的只有第一条和第二条，构造v1=QNKCDZO&v2=240610708即可获取flag。