[MRCTF2020]套娃 字符串解析特性bypass及ascii移位

<!--
//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!-->

了解一下$_SERVER['QUERY_STRING']详解 $_SERVER 函数中QUERY_STRING和REQUEST_URI区别 - 忘忧般若汤 - 博客园

sbustr_count函数返回_在$query中的次数,%5f是_的url编码,第一个if语句意思就是:如果$query中有_则会die

第二个if语句,用get方法传b_u_p_t参数的值不能等于23333,对该值正则表达式/^2333$/意思是首尾都是2333,要同时成立

明显这里要用到字符串解析的特性了利用PHP的字符串解析特性Bypass - FreeBuf网络安全行业门户

_可以用空格来代替,绕过正则的话就要用到%0a了,因为在字符串中换行符默认为结尾,因此构造b%20u%20p%20t=23333%0a

继续进入

注释了一大串不懂得字符,经过查明是用来装逼的js字符,直接控制台运行即可 

叫我们用post方法传Merak进去 

error_reporting(0);  
include 'takeip.php'; 
ini_set('open_basedir','.');  
include 'flag.php'; 

if(isset($_POST['Merak'])){  
    highlight_file(__FILE__);  
    die();  
}  


function change($v){  
    $v = base64_decode($v);  
    $re = '';  
    for($i=0;$i<strlen($v);$i++){  
        $re .= chr ( ord ($v[$i]) + $i*2 );  
    }  
    return $re;  
} 
echo 'Local access only!'."<br/>"; 
$ip = getIp(); 
if($ip!='127.0.0.1') 
echo "Sorry,you don't have permission!  Your ip is :".$ip; 
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){ 
echo "Your REQUEST is:".change($_GET['file']); 
echo file_get_contents(change($_GET['file'])); } 

发现了一个flag.php文件,以及最后面有个file_get_contents(change($_GET['file'])); } ,肯定是绕过中间的阻碍,将flag.php传入进去

先不看函数,直接看下面,一个if语句叫我们用本地登录,用Client-ip=127.0.0.1即可绕过(但我不清楚为什么X-Forwarded-For为什么不行,问了一下别人是说要看服务器的判断机制)

当你本地登陆成功的同时file_get_contents($_GET['2333']) === 'todat is a happy day',明显利用伪协议data即可2333=data://text/plain,todat is a happy day

现在就要看change函数了,因为file参数是传到change函数里面去的

function change($v){  
    $v = base64_decode($v);  
    $re = '';  
    for($i=0;$i<strlen($v);$i++){  
        $re .= chr ( ord ($v[$i]) + $i*2 );  
    }  
    return $re;  
} 

将传来的参数进行base64解码,先将字符ord转化为ascii并进行加$i*2,再用chr转化为字符返回,

我想不到如何一次性将这个函数反过来写,我只能自己手工代码了

通过自己修改$i的值和下面的字符来将flag.php移位前的字符给换算出来 

换算出来结果fj]a&f\b,经过base64编码后ZmpdYSZmXGI=

 这样我们进行传参即可

 很有意思的一个自己反写代码,以及了解到装逼的js代码

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值