BUUCTF [WUSTCTF2020]朴实无华

首先进来不知道要干啥，上dirsearch扫出个机器人协议，一看有点东西

直接访问很明显这不是flag

主页面看他说什么不能修改头部，看一下数据包

发现了好东西

看到源码，又得绕过了。不过这编码有点问题导致乱码了

找个在线网站稍微恢复了下，我把这个分为三块讲解

第一块就是intval函数的绕过，逻辑上是不存在小于2020又大于2021的数，但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差，

科学计数法绕过
处理整型1e10当做科学计数法正常处理；字符串型1e10如果第一个字符不是数字就返回0，是数字就返回1；当用字符串形式的科学计数法运算会自动转换成整型

 echo intval(1e10);              // 1410065408
 echo intval('1e10');            // 1
 echo intval('1e10'+1);          // 1410065409

所以此处我们可以构造payload:num=3e3                  (3乘10的三次方即可满足条件)

第二处则是md5函数绕过，0e215962017 的 MD5 值也是由 0e 开头，php在利用”!=”或”==”来对哈希值进行比较，它把每一个以”0E”开头的哈希值都解释为0，所以构造payload：md5=0e215962017

第三块if(!strstr($get_flag," "))让get_flag值不能有空格，str_ireplace("cat", "wctf2020", $get_flag);又替换我们的cat命令，最方便的是用其他来替代即可免得改造东西来绕过函数

空格我们可以用IFS来代替，使用的时候加上$和{}作为整体变量使用；替换cat我们就不用cat，查看命令多的是，我就用head，10行足够显示了

代替空格可以用这三个：${IFS}     $IFS$9     <，我试了双尖括号不行

先看下藏flag的文件名，payload：fl4g.php?num=3e3&md5=0e215962017&get_flag=ls 

肯定是最长的这玩意

最终payload：fl4g.php?num=3e3&md5=0e215962017&get_flag=head${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

原文地址：https://blog.csdn.net/weixin_73399382/article/details/140612824

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！