[MRCTF2020]套娃-1

1、打开之后未发现有用的信息，右键检查源代码信息，发现部分代码信息，结果如下：

2、对代码进行分析：$_SERVER['QUERY_STRING']：指的是查询的字符串，即地址栏?之后的部分，%5f指的是_，那就是查询的字符串中不能存在_，php在解析字符串时会把点和空格解析成_，因此第一个判断可以使用payload：b.u.p.t或b+u+p+t来进行绕过，第二个判断要求b+u+p+t!==23333但是正则又要求是23333，因此这里采用%0a进行绕过，最终获得secrettw.php，结果如下：

3、打开secrettw.php显示仅允许本地访问，那就需要修改下访问地址为127.0.0.1，右键检查源代码发现jsfuck代码，放到console口进行执行获得提示信息，结果如下：

4、根据提示那就进行brup抓包传递Merak，获得源码信息，结果如下：

<?php
error_reporting(0);
include 'takeip.php';
ini_set('open_basedir','.');
include 'flag.php';
if(isset($_POST['Merak'])){
    highlight_file(__FILE__);
    die();
} 
function change($v){
    $v = base64_decode($v);
    $re = '';
    for($i=0;$i<strlen($v);$i++){
        $re .= chr ( ord ($v[$i]) + $i*2 );
    }
    return $re;
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

5、观察源代码信息，除了上面提到的限制ip为127.0.0.1还需要file_get_contents($_GET['2333']) === 'todat is a happy day'，这里可以采用伪协议来绕过，然后还有change($_GET['file'])，使其等于flag.php，change()函数主要就是这一句chr ( ord ($v[$i]) + $i*2 )，输出结果为：每个字符串转换成asii码之后+i*2生成新的asii码，然后转成字符，所以我们就需要反过来，因为change()函数最终返回的是flag.php，那我们就需要将flag.php中得每一位进行转换成asii码，然后减去i*2在生成字母，最后在进行base64加密即可得到最终输入file得结果，所以最终payload：/secrettw.php?2333=data://text/plain,todat+is+a+happy+day&file=ZmpdYSZmXGI=，然后抓包修改下地址信息，结果如下：

6、在获取源码信息时出现了一个问题，就是传递Merak时未获取到源码信息，不知道原因是什么，然后通过另一个浏览器直接传递post参数就可以正常获取源码，最后抓取两个数据包进行比对发现直接通过POST浏览器传递得数据携带了：Content-Type: application/x-www-form-urlencoded，而抓包修改为POST方式时缺少这个导致得无法获取源码，加上之后就显示正常，结果如下：