1、打开之后未发现有用的信息,右键检查源代码信息,发现部分代码信息,结果如下:
2、对代码进行分析:$_SERVER[‘QUERY_STRING’]:指的是查询的字符串,即地址栏?之后的部分,%5f指的是_,那就是查询的字符串中不能存在_,php在解析字符串时会把点和空格解析成_,因此第一个判断可以使用payload:b.u.p.t或b+u+p+t来进行绕过,第二个判断要求b+u+p+t!==23333但是正则又要求是23333,因此这里采用%0a进行绕过,最终获得secrettw.php,结果如下:
3、打开secrettw.php显示仅允许本地访问,那就需要修改下访问地址为127.0.0.1,右键检查源代码发现jsfuck代码,放到console口进行执行获得提示信息,结果如下:
4、根据提示那就进行brup抓包传递Merak,获得源码信息,结果如下:
<?php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';if(isset($_POST['Merak'])){
highlight_file(__FILE__);
die();
} function change($v){
$v = base64_decode($v);
$re = '';
for($i=0;$i<strlen($v);$i++){
$re .= chr ( ord ($v[$i]) + $i*2 );
}
return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission! Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>5、观察源代码信息,除了上面提到的限制ip为127.0.0.1还需要file_get_contents($_GET[‘2333’]) === ‘todat is a happy day’,这里可以采用伪协议来绕过,然后还有change($_GET[‘file’]),使其等于flag.php,change()函数主要就是这一句chr ( ord ($v[$i]) + $i*2 ),输出结果为:每个字符串转换成asii码之后+i*2生成新的asii码,然后转成字符,所以我们就需要反过来,因为change()函数最终返回的是flag.php,那我们就需要将flag.php中得每一位进行转换成asii码,然后减去i*2在生成字母,最后在进行base64加密即可得到最终输入file得结果,所以最终payload:/secrettw.php?2333=data://text/plain,todat+is+a+happy+day&file=ZmpdYSZmXGI=,然后抓包修改下地址信息,结果如下:
6、在获取源码信息时出现了一个问题,就是传递Merak时未获取到源码信息,不知道原因是什么,然后通过另一个浏览器直接传递post参数就可以正常获取源码,最后抓取两个数据包进行比对发现直接通过POST浏览器传递得数据携带了:Content-Type: application/x-www-form-urlencoded,而抓包修改为POST方式时缺少这个导致得无法获取源码,加上之后就显示正常,结果如下:
