攻防世界-web -高手进阶区-PHP2

题目

攻防世界-web -高手进阶区-PHP2_第1张图片

writeup

首先发现源码泄露

/index.phps

攻防世界-web -高手进阶区-PHP2_第2张图片

查看源代码

攻防世界-web -高手进阶区-PHP2_第3张图片

即:


if("admin"===$_GET[id]) {
  echo("

not allowed!

"
); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "

Access granted!

"
; echo "

Key: xxxxxxx

"
; } ?> Can you anthenticate to this website?

分析代码:

第一步,要使得"admin"===$_GET[id]不成立

第二步,经过$_GET[id] = urldecode($_GET[id]);,使得$_GET[id] == "admin"成立。

故有

?id=%2561dmin

得到flag

攻防世界-web -高手进阶区-PHP2_第4张图片

知识点

1、.phps

这个是之前所没有碰到过的

第一次扫描时也没有扫出来,长个记性,记一下

2、urldecode/urlencode

当传入参数id时,浏览器在后面会对非ASCII码的字符进行一次urlencode

然后在这段代码中运行时,会自动进行一次urldecode

在urldecode()函数中,再一次进行一次解码

urldecode(%2561)=%61
urldecode(%61)=a

即,当第一次比较时,实际是

if("admin"==="%61dmin") 

而经过

$_GET[id] = urldecode($_GET[id]);

第二次比较是:

if("admin" == "admin");

你可能感兴趣的:(CTF之Web)