ezhttp
因为是一道http的题,前端代码没有什么有效信息,但提示说密码在某个地方,我们用robots建立一个robots.txt文件来看有哪个文件可以访问
补充知识:http请求中via字段表示从哪个网址的服务器代理而来,user-agent表示浏览器,refer表示从哪个网址过来,host头X-Forwarded-For,Client-Ip后加127.0.0.1可让后端认为是本地访问,
warm up
补充知识:在 PHP 中,extract() 函数用于将数组中的键值对转换为变量和值。它的作用是将数组中的键作为变量名,对应的值作为变量的值,从而在当前的符号表中创建变量。
例如,如果我们有一个数组 $data = ['name' => 'Alice', 'age' => 25];,使用 extract($data); 之后,就会在当前符号表中创建两个变量 $name 和 $age,分别对应数组中的值。
需要注意的是,extract() 函数可能会导致命名冲突或者覆盖已有的变量,因此在使用时需要谨慎考虑。
首先很明显是一个代码审计的问题,我们第一关要做md5绕过相关知识(在此关中extract()函数用于将传进去的参数,作为变量储存起来,使其之后可以随意使用)
首先两个参数要加密前不相同加密后相同,我们此时可以用0e绕过,随便选两个加密后都是0
e开头的字符串
val1=240610708&val2=QNKCDZO
第二个要使加密前后字符串相同,找加密前是0e开头,加密后同样是0e开头的字符串
md5=0e215962017
发现那个加密后也是0e开头的于是我们就用上一次的
最终构建出payload
?val1=240610708&val2=QNKCDZO&md5=0e215962017&XY=0e215962017&XYCTF=0e215962017
获得第二关的文件
利用preg_replace()的漏洞进行命令执行
最终payload ?a=/test/e&b=system(cat /flag)&c=test
