题目
分析
尝试 url 接弱密码和找 php 源码,坐牢 1h。
看了大佬的 WP 才知道 php 源码文件扩展名是 phps,于是将 url 接上 /index.phps 找到源码:
整理一下代码,大致意思是:
if("admin"===$_GET[id]) { // 如果传入的id值为字符串admin
echo("not allowed!"); // 输出字符串not allowed!
exit(); // 退出
}
$_GET[id] = urldecode($_GET[id]); // 将传入的id值进行url解码后赋值给id
if($_GET[id] == "admin") // 如果id值为字符串admin
{
echo "Access granted!"; // 输出字符串Access granted!
echo "Key: xxxxxxx "; // 输出字符串Key: xxxxxxx
}
也就是说要得到 Key,输入的 id 值本身不能是 admin,但经 urldecode 解密后为 admin。
因为找到的 url 在线加密都不对字符进行加密(后来找到了,链接附在文末),于是进行手动操作。先对 admin 进行十六进制加密,再在每个字符的密文前加 % 符号:
将密文拼入 url:
输入错误,拼接的部分直接变成 admin 了?!
了解了发送 http 请求后 url 参数的编解码后才知道,服务器端在收到 url 后会先对 url 进行一次解码。因此想要将编码后的参数传递到 php 代码中,需要对参数再进行一次编码,得到 %2561%2564%256d%2569%256e。
拼入 url 发送,得到 flag:
Flag
cyberpeace{7ba6a52f1a72c30030af5463645fb5f2}
参考
PHP_ urldecode-Manual
PHP_ echo-Manual
如何把英文字母等非特殊字符也url编码-д一点红ж-CSDN博客
http请求(GET_POST)时,url_参数编码的过程分析-柒叶-mmmming-SegmentFault思否
在线URL编码_在线URL解码_URLEncode解码_UrlEncode编码原理_百分号编码-查错网
- Web_XCTF_WriteUp WriteUp PHP2 XCTF Webweb_xctf_writeup writeup php2 xctf web_xctf_writeup web_xctf_writeup writeup upload1 upload web_xctf_writeup weak_auth writeup xctf web_php_unserialize web_xctf_writeup unserialize web_xctf_writeup writeup xctf web command_execution web_xctf_writeup execution web_xctf_writeup pure_color writeup color web_xctf_writeup simple_js writeup simple training-www-robots web_xctf_writeup training