ようこそ、名無しさま!

Take#56


以下の4つのフォームは、それぞれphpの正規表現によるチェックが入っており、
通常の入力ではシングルクォートである「'」が入力できないようになっています。
各フォームについている正規表現チェックをすり抜ける形で「'」をサーバーに渡せたらクリアです。
1つのフォームを突破する度に本設問をクリアするためのキーワードが3文字づつ手に入ります。
4つのフォームを突破してキーワードを連結し、12文字のパスワードを入手して以下のフォームに入力できたらステージクリアです。
問1

//電話番号チェック
if (preg_match ("/[0-9]{2,4}-[0-9]{2,4}-[0-9]{4}/", $_POST["attack_value"])) {
    echo "check OK";
} else {
    echo "check NG: フォーマットが不正です。
"; exit; }



問2

//電話番号チェック
if (ereg ("^[0-9]{2,4}-[0-9]{2,4}-[0-9]{4}$", $_POST["attack_value"])) {
    echo "check OK";
} else {
    echo "check NG: フォーマットが不正です。
"; exit; }



問3

//数字、ハイフンのみチェック
if (preg_match ("/(.*)-(.*)-(.*)/", $_POST["attack_value"], $match)) {
    if(!empty($match[1])&&!empty($match[2])&&!empty($match[3])){
        // 前後のスペースとハイフンを削除
        $check_value = trim($match[1].$match[2].$match[3]);
        // 数値かどうか
        if(is_numeric($check_value)){
            echo "check OK";
        } else {
            echo "check NG: フォーマットが不正です。";
            exit;
        }
    } else {
        echo "check NG: 文字列が空です。";
        exit;
    }
} else {
    echo "check NG: フォーマットが不正です。";
    exit;
}



問4

//シングルクォートだけは通さない
if (preg_match ("/.*'.*/s", $_POST["attack_value"])) {
    echo "check NG: フォーマットが不正です。";
    exit;
} else {
    echo "check OK
"; }




この問題は、121人の方に突破されました。正解率は、1.02%です。

アカウントを作成すると途中中断やランキングに参加できます。
また、ヒントが表示されることも!?

問4が
わからん・・。
no name
2013-09-09 12:50:13
問1〜問3は定番ですね
問4はうまく検索に引っ掛けられれば難しくないかと
ciel
2013-09-09 13:01:40
まだ2つしかわからないけど
色々試せるので、
とても勉強になります。
no name
2013-09-09 16:53:30
ereg
恐ろしい・・・これからはeregを使わないようにしよう・・・
gdpi
2013-09-10 00:26:44
問4
全くわからん
unko
2013-09-14 15:27:49
問3
だけ分からない。。。
no name
2013-09-17 14:19:13
ザ子だな
ふっふっふっふわかんねえのか?
ファルコン
2013-09-18 15:33:21
できねえ
わかんね
歌い手
2013-09-18 15:35:51
問2
フォームから直接「%00」って入力しても実際はNULLバイトならないからこの問題はクソ
CertaiN
2013-09-22 05:39:40
うん
'999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999
no name
2013-09-22 06:24:05
 
問2はeregなので…?
問3はs修飾子がないから…?
no name
2013-09-22 12:27:24
%2F
%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F
no name
2013-09-23 05:08:28
%2F
%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F
no name
2013-09-23 05:08:56
%2F%2F%2F%2F%%2F%2F%2F2F%2F%2F%2F%2F%2F%2F%2F%2F
%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F%2F
%2F%2F%2F%2F%%2F%2F%2F2F%2F%2F%2F%2F%2F%2F%2F%2F
2013-09-23 06:21:49
01234567890123456789012345678901234567890123456789
012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678
01234567890123456789012345678901234567890123456789
2013-09-23 17:44:56
▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲
▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲
▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲
2013-09-23 20:48:48
なぜ0-0-0がダメなのか・・・
0がfalseとみなされるのかな?
しかし0は数値の筈だが・・・
なぜ1ならOkなのか
gdpi
2013-10-21 15:11:59
うわぁ
マジで埋め込みそうな脆弱性だ…
しかもこれはそれなりの経験がないと見つけられんし。これは勉強になった。
miu_ras
2014-02-07 05:12:36
ヒント
問1:あれ?^$がないぞ
問2:eregじゃんwww
問3:¥sは?
問4:え?なにこれ?解からん!!DOSじゃー...入れた!!!
mmki20yo
2015-08-27 19:23:33