CG-CTF /x00

偶然发现CG-CTF上没做的web题里有道/x00，这不就是上次写到的利用/x00截断构造payload吗？

源码贴这：

php源码

条件很清楚，跟上次的php审计大同小异

1）有nctf参数

2）nctf为数字

3）nctf中有‘#biubiubiu’

考虑到上次的截断，这次的payload也很好构造：nctf=1%00%23biubiubiu

flag

#注意，这里的%23是#经过编码的结果，因为url会经过一次解码，#属于特殊字符

知识点 ：ereg()函数的漏洞，遇到ascii码为0的字符自动认为结束，因此%00常用于截断

下面还有种方法：

ereg函数处理数组，直接返回Null,而Null不等于False

strpos()也处理不了数组，直接返回Null

那么payload为 nctf[]=%23biubiubiu即可（数组绕过）

有warning但还是出flag了

数组绕过不愧为居家常备的解题大法啊