[MRCTF2020]套娃1

好像MRCTF难度要比其他的低那么些。这题做起来还是很舒服的。

右键源代码，有发现

 

$_SERVER['QUERY_STRING']是什么？举个例子即可

http://www.xxx.com/?p=222 (附带查询)

结果：

$_SERVER["QUERY_STRING"] = "p=222″

有两层过滤

1.过滤"_"与"%5f" 。

这里要求的参数必须是"b_u_p_t"但是不能检测出"_"。这里看着很作弄人。其实这里要用到php里非法参数名的问题。可以参考一下博客

https://blog.csdn.net/mochu7777777/article/details/115050295

简单来说会把参数名里的"."等非法符号替换为"_" 

2.绕过preg_match

因为preg_match只匹配第一行，所以%0a即可绕过。

?b.u.p.t=23333%0a

 

提示:访问secrettw.php

 

ip不对，需要127.0.0.1。抓包

数据包传递ip我知道有两种。

X-Forwarded-For:127.0.0.1

Client-Ip:127.0.0.1

都试一下，第二个正确

看见右下角一堆堆外星语，其实这是JavaScript代码。复制找个网站运行一下

 

哦，原来你小子要post请求。

 

终于看到最后的flag源码了

1.判断是否存在post请求，参数名Merak，存在即显示源码并且结束运行。所以一会构造payload的时候一定要去掉Merak参数，不然不会执行后边的代码(我在这个地方被困了10分钟:)

2.change函数，先进行base64解码，在对每一位的ascii码加上i*2。很简单写一个逆函数就行

//逆向代码


//v1=ZmpdYSZmXGI=

 

3.有个2333参数在file_get_contents函数里边，读取出来要等于"todat is a happy day"。需要用到data伪协议

data://text/plain,"todat is a happy day"

构造最终的数据包

 

这套娃，还算有趣。