写在前面:22年寒假开始接触ctf,目前在是一个在大佬成群的实验班里艰难生存的菜鸡…,欢迎大佬们来指点!(¯︶¯)
刷题网站:攻防世界
ctf-web题目笔记
1、一道关于php的题目
场景:http://111.200.241.244:64040
这道题用到了php弱类型比较的知识点
观察php代码,发现发现同时满足 $a==0 和 $a 时,显示flag1,php中的弱类型比较’abc’ ==0为真,所以输入a=abc时,可得到flag1,s_numeric() 函数会判断如果是数字和数字字符串则返回 TRUE,否则返回 FALSE,B 可以构造为 12345a,类型转换后为 12345,大于 1234
输入/index.php/a=abc&b=1235a
2、一个暴力技巧:
直接在网站后面加/flag.txt直接输出flag…不具有什么普遍性,那道题目常规做法是用webshell菜刀,回头有时间把正确解法补上。
