浅学一下吧~

发开题目是这样的

最烦的就是代码审计，还是看得少 多审计两篇代码就好了（还是因为自己会的不多）

php"> <?php
highlight_file(__FILE__);//将当前文件的源代码进行高亮显示
$key1 = 0;//将变量$key1的值初始化为0
$key2 = 0;//将变量$key2的值初始化为0

$a = $_GET['a'];//通过GET的方法传递的参数变量a和b的值赋给变量$a和$b
$b = $_GET['b'];

if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3){//判断变量$a的值是否存在且满足条件，$a的整数值大于6000000，且$a的长度小于等于3
    if(isset($b) && '8b184b' === substr(md5($b),-6,6)){//判断变量$b的值是否存在且满足条件，将$b进行MD5加密取后6位，并且与字符串'8b184b'进行比较
        $key1 = 1;
        }else{
            die("Emmm...再想想");//如果上面两个条件都满足，将变量$key赋值为1，否则输出“Emmmm..再想想” 并终止程序
        }
    }else{
    die("Emmm...");//如果有一个条件不满足，则输出Emmmm...
}

$c=(array)json_decode(@$_GET['c']);//将通过GET方法传递的参数c进行json解码，并将结果转化为数组
if(is_array($c) && !is_numeric(@$c["m"]) && $c["m"] > 2022){//判断变量$c是否为数组且满足条件，$c["m"]不是数值且$c["m"]大于2022
    if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0])){//判断$c["n"]是否为数组且满足条件，$c["n"]是一个包含两个元素的数组且$c["n"][0]是一个数组
        $d = array_search("DGGJ", $c["n"]);//在数组$c["n"]中搜索DGGJ（在遍历过程中）
        $d === false?die("no..."):NULL;//如果找不到则输出no..... 并终止程序（在遍历过程中）
        foreach($c["n"] as $key=>$val){//遍历数组$c["n"]的每个元素
            $val==="DGGJ"?die("no......"):NULL;//到这里如果还没有发现DGGJ，就将$key2的值设为1
        }
        $key2 = 1;
    }else{
        die("no hack");//如果遍历上边那两个条件都未满足，则输出no
    }
}else{
    die("no");//如果一个条件满足，另一个条件不满足则输出no
}

if($key1 && $key2){
    include "Hgfks.php";
    echo "You're right"."\n";//如果$key1 和 $key2  的值都为1，则包含一个名为Hgfks.php的文件并且输出 You re right  输出flag
    echo $flag;
}

?> 

开始做题

php">if(isset($a) && intval($a) > 6000000 && strlen($a) <= 3)

既然他说赋的值必须大于6000000且长度小于等于3

  我们可以看到当1e7的时候 数值就已经比6000000大了，所以1e7以上的柿子都可以 ，当然 长度必须是三位  1e7-1e9 都可以

当我们传参之后，页面也已经给了回显，说我们的传参是正确的

php"><?php
highlight_file(__FILE__);
for($b=1;$b<=100000;$b++){
    if(preg_match('/8b184b/',substr(md5($b),-6,6))){
        echo $b;
        echo "\n";
        echo md5($b);
        echo "\n";
    }
}              

?>

查找小于100000的数并且后6位与8b184b相同的数字，然后我们发现是53724，验证一下

然后拿着去传参

通过了上面两个条件但是下面的条件还没完成呢 所以输出no 证明到这里我们做的是对的

接着往下走然后就是过滤下面一条规则

传入一个参数c （这个参数已经被json解码）

他的条件是 不是数组 且大于2022

于是我们构造传参c=["m":"6666a"]

因为我们要逐级过滤 所以要先判断m，在判判断n

不是数组  我们就用数字加字符在一起绕过  数字只要比2022大就行  字符随便

发现返回 no hack  判定有效 接着往下走

php">if(is_array(@$c["n"]) && count($c["n"]) == 2 && is_array($c["n"][0]))

n的要求是：判断$c["n"]是否为数组且满足条件，$c["n"]是一个包含两个元素的数组且$c["n"][0]是一个数组

$c["n"]是一个包含两个元素的数组

"n":[[111],0]

c={"m":"6666a","n":[[111],0]}

然后拿着构造好的paylode去传参

然后flag就出来啦！

里面用到的函数

isset($a)  检查变量$a是否被设置
intval($a) 将变量$a转换成整数类型
strlen($a)  来计算$a的字符串长度
substr(md5($b),-6,6) 将$b进行md5加密，从倒数第6位开始取6位（后6位）
(array) 创建一个名为array的数组
json_decode(@$_GET['c'])  将get传入的参数c进行json解码并传入到数组中
!is_numeric判断是否为数值
count($c["n"])  计算$c["n"]中的数组的元素的个数
is_array($c["n"][0])判断$c["n"][0]是否是一个数组
array_search  在数组中搜索某个健值，并返回他的健名
 

经验还是欠缺，看来还得多练习练习！！！