所有题目只有过滤的字符有差别,其余并无差别,下面给出的代码是web7的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<html>
<head>
    <title>ctf.show萌新计划web1</title>
    <meta charset="utf-8">
</head>
<body>
<?php
# 包含数据库连接文件
include("config.php");
# 判断get提交的参数id是否存在
if(isset($_GET['id'])){
        $id = $_GET['id'];
    if(preg_match("/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\^|\!|\~|x|hex|\(|\)|\+|select/i",$id)){
            die("id error");
    }
    # 判断id的值是否大于999
    if(intval($id) > 999){
        # id 大于 999 直接退出并返回错误
        die("id error");
    }else{
        # id 小于 999 拼接sql语句
        $sql = "select * from article where id = $id order by id limit 1 ";
        echo "执行的sql为:$sql<br>";
        # 执行sql 语句
        $result = $conn->query($sql);
        # 判断有没有查询结果
        if ($result->num_rows > 0) {
            # 如果有结果,获取结果对象的值$row
            while($row = $result->fetch_assoc()) {
                echo "id: " . $row["id"]. " - title: " . $row["title"]. " <br><hr>" . $row["content"]. "<br>";
            }
        }
        # 关闭数据库连接
        $conn->close();
    }
    
}else{
    highlight_file(__FILE__);
}

?>
</body>
<!-- flag in id = 1000 -->
</html>

这其中有个函数非常关键,intval()
PHP intval() 函数 | 菜鸟教程 (runoob.com)

成功时返回 var 的 integer 值,失败时返回 0。 空的 array 返回 0,非空的 array 返回 1。
最大的值取决于操作系统。 32 位系统最大带符号的 integer 范围是 -2147483648 到 2147483647。举例,在这样的系统上, intval(‘1000000000000’) 会返回 2147483647。64 位系统上,最大带符号的 integer 值是 9223372036854775807。
字符串有可能返回 0,虽然取决于字符串最左侧的字符

看实例非常重要

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
echo intval(42);                     // 42
echo intval(4.2);                    // 4
echo intval('42');                   // 42
echo intval('+42');                  // 42
echo intval('-42');                 // -42
echo intval(042);              // 34  被解析成八进制,以0开头,注意一定不要带引号
echo intval('042');                   // 42
echo intval(1e10);                    // 1410065408
echo intval('1e10');                  // 1
echo intval(0x1A);                    // 26
echo intval(42000000);                // 42000000
echo intval(420000000000000000000);   // 0
echo intval('420000000000000000000'); // 2147483647
echo intval(42, 8);                   // 42
echo intval('42', 8);                 // 34
echo intval(array());                 // 0
echo intval(array('foo', 'bar'));     // 1
?>

preg_match("/\'|\"|or|\||\-|\\\|\/|\\*|\<|\>|\^|\!|\~|x|hex|\(|\)|\+|select/i",$id)
正则匹配,固定格式是 preg_match("/ 正则表达式 /i",$var)
其中有很多 \ 代表转义的意思

所以的目的都是为了绕过intval($id) > 999传一个1000.(这个1000通过不同形式的方法传入,被intval解析之后会是一个小于1000的值,但是到了sql语句中(可能sql语句的那个地方有比较强大的解析功能),所以正常解析成1000)

接下来一一举例:

  • 单引号、双引号: ‘1e3’ //intval会解析成1

  • + - * / :999-(-1) 10*100 100/0.1 //intval(999-(-1))应该是999,这样的

    +号虽然绕过了,但是sql语句无法正常解析

  • !(真值取反): !!1000

  • ~ (取反): ~~1000

  • ^(异或) : 1 ^1001

  • | (按位或) :0|1000

  • x (十六进制): 0x3e8

  • 二进制绕过: 0b1111101000 这一题没有过滤,所以这就是web7的答案