题目
打开后题目就只有hackme
这串字符,但是看到标题有bot字样,可以试试robots.txt文件里面有没有东西
进到那个文件后,写着flag{this_is_not_flag}
一看就知道不是flag,再找找头
看到fl4g.php文件,再进去
level1
GET传参num,而且num的值既要小于2020,加1后又要大于2021
为了绕过,再看看这张图
来源:https://www.runoob.com/php/php-intval-function.html
里面提到一点:
echo intval(1e10); // 1410065408
echo intval('1e10'); // 1
当科学计数法为字符串传入到intval
函数中时,它将会只返回e
前面的整数
那如果该字符串加上1,是否能够变成数字型呢,来检验一下
<?php
num='5e10';
var_dump(num+1);
?>
事实是可以的,那我们就可以这样来绕过
level2
==
弱类型比较,但同时需要有一串字符串,再次md5加密后等于原来的字符串。
我们可以用科学计数法0e
开头的字符串,加密也是0e
开头的字符串来进行绕过,这样能够大幅度降低搜寻难度。
看wp知道别人查到的字符串0e215962017
getflag
传入的参数不能有空格,有cat
会替换成wctf2020
,然后直接执行system命令。
空格可以用$IFS$1
代替,cat
可以用tac
反向输出,这样就都能绕过了
构造payload:
?num=5e10&md5=0e215962017&get_flag=ls
就是那个特别长的文件读取它
num=5e10&md5=0e215962017&get_flag=tac$IFS$1fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
拿到flag
关于小细节
1.为什么num不是传入'5e10'
而是传入5e10
,因为传入'5e10'
在这个题目里面会当成数字而不是字符串,可能是题目在传入中改了类型,且用error_reporting(0);
关闭了报错
2.用tac反向读取flag应该是会将flag反过来读取的,但这里读flag直接就是完整的,可能是tac读flag为该题的标准答案,题目已经将文件反了过来。