好像MRCTF难度要比其他的低那么些。这题做起来还是很舒服的。
右键源代码,有发现
$_SERVER['QUERY_STRING']是什么?举个例子即可
http://www.xxx.com/?p=222 (附带查询)
结果:
$_SERVER["QUERY_STRING"] = "p=222″
有两层过滤
1.过滤"_"与"%5f" 。
这里要求的参数必须是"b_u_p_t"但是不能检测出"_"。这里看着很作弄人。其实这里要用到php里非法参数名的问题。可以参考一下博客
https://blog.csdn.net/mochu7777777/article/details/115050295
简单来说会把参数名里的"."等非法符号替换为"_"
2.绕过preg_match
因为preg_match只匹配第一行,所以%0a即可绕过。
?b.u.p.t=23333%0a
提示:访问secrettw.php
ip不对,需要127.0.0.1。抓包
数据包传递ip我知道有两种。
X-Forwarded-For:127.0.0.1
Client-Ip:127.0.0.1
都试一下,第二个正确
看见右下角一堆堆外星语,其实这是JavaScript代码。复制找个网站运行一下
哦,原来你小子要post请求。
终于看到最后的flag源码了
1.判断是否存在post请求,参数名Merak,存在即显示源码并且结束运行。所以一会构造payload的时候一定要去掉Merak参数,不然不会执行后边的代码(我在这个地方被困了10分钟:)
2.change函数,先进行base64解码,在对每一位的ascii码加上i*2。很简单写一个逆函数就行
//逆向代码
<?php
$v="flag.php";
$re='';
for($i=0;$i<strlen($v);$i++)
{
$re.=chr(ord($v[$i])-$i*2);
}
$v1=base64_encode($re);
echo $v1;
?>
//v1=ZmpdYSZmXGI=
3.有个2333参数在file_get_contents函数里边,读取出来要等于"todat is a happy day"。需要用到data伪协议
data://text/plain,"todat is a happy day"
构造最终的数据包
这套娃,还算有趣。