[WUSTCTF2020]朴实无华 刷题记录

题目

打开后题目就只有hackme这串字符，但是看到标题有bot字样，可以试试robots.txt文件里面有没有东西

进到那个文件后，写着flag{this_is_not_flag}一看就知道不是flag，再找找头

看到fl4g.php文件，再进去

level1

GET传参num，而且num的值既要小于2020，加1后又要大于2021
为了绕过，再看看这张图
来源：https://www.runoob.com/php/php-intval-function.html

里面提到一点：

echo intval(1e10);    // 1410065408
echo intval('1e10');  // 1

当科学计数法为字符串传入到intval函数中时，它将会只返回e前面的整数
那如果该字符串加上1，是否能够变成数字型呢，来检验一下

num='5e10';
var_dump(num+1);
?>

事实是可以的，那我们就可以这样来绕过

level2

==弱类型比较，但同时需要有一串字符串，再次md5加密后等于原来的字符串。
我们可以用科学计数法0e开头的字符串，加密也是0e开头的字符串来进行绕过，这样能够大幅度降低搜寻难度。
看wp知道别人查到的字符串0e215962017

getflag

传入的参数不能有空格，有cat会替换成wctf2020，然后直接执行system命令。
空格可以用$IFS$1代替，cat可以用tac反向输出，这样就都能绕过了
构造payload：

?num=5e10&md5=0e215962017&get_flag=ls

就是那个特别长的文件读取它

num=5e10&md5=0e215962017&get_flag=tac$IFS$1fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

拿到flag

关于小细节

1.为什么num不是传入'5e10'而是传入5e10，因为传入'5e10'在这个题目里面会当成数字而不是字符串，可能是题目在传入中改了类型，且用error_reporting(0);关闭了报错
2.用tac反向读取flag应该是会将flag反过来读取的，但这里读flag直接就是完整的，可能是tac读flag为该题的标准答案，题目已经将文件反了过来。