(2)攻防世界web-PHP2

PHP2

进入场景

翻译: 你能访问这个网站吗?

扫描一下后台文件

这题访问php时没有回显 这里涉及到phps的知识

phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。

它的MIME类型为:text/html, application/x-httpd-php-source, application/x-httpd-php3-source。

访问index.phps


   
   
     
     
     
     
  1. not allowed!
  2. "); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin ") { echo "
  3. Access granted!
  4. "; echo "
  5. Key: xxxxxxx
  6. "; } ?> Can you anthenticate to this website?

代码审计

在此之前搞清楚urldecode urlencode的区别

urlencode()函数原理就是首先把中文字符转换为十六进制,然后在每个字符前面加一个标识符%。 urldecode()函数与urlencode()函数原理相反,用于解码已编码的 URL 字符串,其原理就是把十六进制字符串转换为中文字符

发现这里在进行url解码,如果解码后的变量id等于admin将会给出flag

浏览器本身会进行因此url解码,这里相当于进行两次url解码,只需要让id后的值等于admin进行两次url编码,为了方便我们可以将a进行两次编码,

对a字母进行两次url编码 第一次url编码:a ==> %61 //a的ascii码是97,而97的十六进制是61,再加上一个%,最终得到%61 第二次url编码:%61 ==> %25%36%31 //分别对%,6,1进行url编码,%的ascii码是37,37的hex值是25,再加上一个%,最终就是%25,6的ascii码是54,54的hex值是36,加上一个%,最终就是%36,1同理

使用在线工具对a进行url编码的时候,还是会得到a,这时候就需要知道编码的规则 %25%36%31 == %2561

%2561解码一次得到 %61,因为url编码是%加上两位数字,所以先对%25进行url解码得到%本身,而61是数字不用解码,就得到%61 二次解码得到a %25%36%31 第一次解码 %25==>% %36==>6 %31==>1 于是解码一次得到 %61 解码第二次得到a

?id=%2561dmin
   
   
     
     
     
     

整串字符串编译

admin ==》 %2561%2564%256D%2569%256E
   
   
     
     
     
     

只要满足id二次解码后的值等于admin就可以了

flag出现

cyberpeace{e238759a84c30356093e8135f99bbd1c}
   
   
     
     
     
     

你可能感兴趣的:(#,Web,前端,android)