http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php?

題解：?

view-source:if (isset ($_GET['nctf'])) {if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE)echo '必須輸入數(shù)字才行';else if (strpos ($_GET['nctf'], '#biubiubiu') !== FALSE) die('Flag: '.$flag);elseecho '騷年，繼續(xù)努力吧啊~';}

可直接訪問源代碼，關(guān)于@ereg()函數(shù)，int ereg(string pattern, string originalstring, [array regs]);，ereg()函數(shù)用指定的模式搜索一個字符串中指定的字符串,如果匹配成功返回true,否則,則返回false。搜索字母的字符是大小寫敏感的。所以，本題中@ereg ("^[1-9]+$", $_GET['nctf'])即要求nctf變量必須是數(shù)字，google發(fā)現(xiàn)ereg函數(shù)存在%00截斷漏洞，當(dāng)遇到%00(NULL)時，函數(shù)就截止了。strpos(string,find,start),strpos()函數(shù)查找字符串在另一字符串中第一次出現(xiàn)的位置（區(qū)分大小寫）。即strpos ($_GET['nctf'], '#biubiubiu')函數(shù)要求nctf變量中需要包含'#biubiubiu'字符串，才能返回flag。此題目前知道有兩種方法繞過：

方法一：使用%00截斷，構(gòu)造payload如nctf=1%00%23biubiubiu，這里#符號需要進行URL編碼，輸入后的得到flag。

方法二：使用數(shù)組的形式繞過，payload為：nctf[]=123,傳入之后，ereg是返回NULL的，===判斷NULL和FALSE，是不相等的，所以可以進入第二個判斷，strpos處理數(shù)組時，也是返回NULL，注意這里的是!==，NULL!==FALSE,條件成立，拿到flag。

?

總結(jié)

以上是生活随笔為你收集整理的CG CTF WEB /x00的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。