[WUSTCTF2020]朴实无华

[WUSTCTF2020]朴实无华

f12查看源码没有发现什么东西，dirsearch扫描一下

发现robots.txt，查看一下

 

发现/fAke_flagggg.php，继续查看一下

假的flag，抓包查看一下在/fAke_flagggg.php页面下发现了/fl4g.php

访问看一下

中文乱码，火狐有工具可以使用

修复后的图片最下面是这样的，在后面绕过的过程中这里会发生变化

修复完就得到源码

header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);
 
 
//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.
";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.
";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}
 
//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.
";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

有level1、level2、getflag三个部分，level1：

if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.
";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}

这里要我们传入num，但是有一个函数是intval函数（PHP intval() 函数 | 菜鸟教程），intval函数在碰到字符串的时候就会停止。而php有一个强转换机制：如果将一个字符串和一个数字相加，那么php首先会将字符串转换为数字，然后将两个数相加。利用科学计数法，当我们传入的是1e4的时候，经过intval函数的作用后就会变成1，但是当加上1的时候就会变为10001。

成功绕过第一层

level2：

if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.
";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

这里要我们传入一个md5的值，要求在经过md5加密后两者还是相等，php弱类型比较，php若比较会截取字符串的数字，直到遇到字符才会停止，比如‘12x34’会被读取为12，而‘ee123’就会被读取为0。而在以0x开头的字符串进行弱比较的时候，就总是被认为是相同的。在这里我们就需要找到一个是0x开头并且md5加密后还是0x开头的字符串，这里我是真没找到只能去wp里找，发现了大家都在用的：0e215962017

然后就可以传入md5了

成功绕过

getflag：

if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.
";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}

这里需要我们传入get_flag，但是存在两个函数分别是strstr()函数（C 库函数 – strstr() | 菜鸟教程）和str_replace()函数（PHP str_replace() 函数 | 菜鸟教程）。strstr()函数是搜索字符串在另一个字符串出现的位置，在代码中则是查找是否有空格。而str_replace()函数则是替换字符串中的字符，在代码中就是wctf2020替换cat。先传入ls查看一下目录

查找到目录，flag应该在fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag里面，尝试抓取但是cat被替换了，那我们就换一个tac，cat和tac都是linux中的打印文件的命令，只不过cat是正向打印，tac是逆向打印而已（也可以用more代替cat）。还有空格，空格也被过滤了，可以使用<代替，也可以使用$IFS$1代替。

撒花结束