原理
base64和Hex编解码
文件读取
命令执行
MD5强碰撞
解题过程
首先进入靶场,页面没什么,倒是参数有点怪,img的值看着像加密值,cmd没有传递参数,可能要我们去传
查看页面原代码,发现有base64加密值,试着去解密了,解密不出来,可能内容太多了- -
点了一下,却发现是一张图片,那么可以猜测base64加密值就是文件内容,那说明通过这个参数可以读取文件内容
试着解密一下,发现是二次base64解密,最后再hex解密,是55.png
记着,这串数字是hex编码
我们将index.php做hex加密,两次base64加密,传入img参数,复制得到的base64加密值,解密后果然是index.php源码
<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd']))
header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));
$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
echo '<img src ="./ctf3.jpeg">';
die("xixi锝?no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "<img src='data:image/gif;base64," . $txt . "'></img>";
echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
}
自己分析吧,也能看懂
(preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd))
问题是这里的\\|\\\\竟然不能过滤\,使得可以c\at绕过
(string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])使用强碰撞绕过
参考文章:https://blog.csdn.net/bwxzdjn/article/details/107440755