PHP2
进入场景
翻译: 你能访问这个网站吗?
扫描一下后台文件
这题访问php时没有回显 这里涉及到phps的知识
phps文件就是php的源代码文件,通常用于提供给用户(访问者)查看php代码,因为用户无法直接通过Web浏览器看到php文件的内容,所以需要用phps文件代替。其实,只要不用php等已经在服务器中注册过的MIME类型为文件即可,但为了国际通用,所以才用了phps文件类型。
它的MIME类型为:text/html, application/x-httpd-php-source, application/x-httpd-php3-source。
访问index.phps
not allowed!
"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "
Access granted!
"; echo "
Key: xxxxxxx
"; } ?> Can you anthenticate to this website?
代码审计
在此之前搞清楚urldecode urlencode的区别
urlencode()函数原理就是首先把中文字符转换为十六进制,然后在每个字符前面加一个标识符%。 urldecode()函数与urlencode()函数原理相反,用于解码已编码的 URL 字符串,其原理就是把十六进制字符串转换为中文字符
发现这里在进行url解码,如果解码后的变量id等于admin将会给出flag
浏览器本身会进行因此url解码,这里相当于进行两次url解码,只需要让id后的值等于admin进行两次url编码,为了方便我们可以将a进行两次编码,
对a字母进行两次url编码 第一次url编码:a ==> %61 //a的ascii码是97,而97的十六进制是61,再加上一个%,最终得到%61 第二次url编码:%61 ==> %25%36%31 //分别对%,6,1进行url编码,%的ascii码是37,37的hex值是25,再加上一个%,最终就是%25,6的ascii码是54,54的hex值是36,加上一个%,最终就是%36,1同理
使用在线工具对a进行url编码的时候,还是会得到a,这时候就需要知道编码的规则 %25%36%31 == %2561
%2561解码一次得到 %61,因为url编码是%加上两位数字,所以先对%25进行url解码得到%本身,而61是数字不用解码,就得到%61 二次解码得到a %25%36%31 第一次解码 %25==>% %36==>6 %31==>1 于是解码一次得到 %61 解码第二次得到a
?id=%2561dmin
整串字符串编译
admin ==》 %2561%2564%256D%2569%256E
只要满足id二次解码后的值等于admin就可以了
flag出现
cyberpeace{e238759a84c30356093e8135f99bbd1c}
版权归原作者 tzyyyyyy 所有, 如有侵权,请联系我们删除。