<!--
//1st
$query = $_SERVER['QUERY_STRING'];
if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
die('Y0u are So cutE!');
}
if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
echo "you are going to the next ~";
}
!-->
了解一下$_SERVER['QUERY_STRING']详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI区别 - 忘忧般若汤 - 博客园
sbustr_count函数返回_在$query中的次数,%5f是_的url编码,第一个if语句意思就是:如果$query中有_则会die
第二个if语句,用get方法传b_u_p_t参数的值不能等于23333,对该值正则表达式/^2333$/意思是首尾都是2333,要同时成立
明显这里要用到字符串解析的特性了利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户
_可以用空格来代替,绕过正则的话就要用到%0a了,因为在字符串中换行符默认为结尾,因此构造b%20u%20p%20t=23333%0a
继续进入
注释了一大串不懂得字符,经过查明是用来装逼的js字符,直接控制台运行即可
叫我们用post方法传Merak进去
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
}
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
发现了一个flag.php文件,以及最后面有个file_get_contents(change($_GET['file'])); } ,肯定是绕过中间的阻碍,将flag.php传入进去
先不看函数,直接看下面,一个if语句叫我们用本地登录,用Client-ip=127.0.0.1即可绕过(但我不清楚为什么X-Forwarded-For为什么不行,问了一下别人是说要看服务器的判断机制)
当你本地登陆成功的同时file_get_contents($_GET['2333']) === 'todat is a happy day',明显利用伪协议data即可2333=data://text/plain,todat is a happy day
现在就要看change函数了,因为file参数是传到change函数里面去的
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
将传来的参数进行base64解码,先将字符ord转化为ascii并进行加$i*2,再用chr转化为字符返回,
我想不到如何一次性将这个函数反过来写,我只能自己手工代码了
通过自己修改$i的值和下面的字符来将flag.php移位前的字符给换算出来
换算出来结果fj]a&f\b,经过base64编码后ZmpdYSZmXGI=
这样我们进行传参即可
很有意思的一个自己反写代码,以及了解到装逼的js代码