攻防世界--PHP2

PHP2

进入场景

翻译 你能访问这个网站吗

扫描一下后台文件

这题访问php时没有回显 这里涉及到phps的知识

phps文件就是php的源代码文件通常用于提供给用户访问者查看php代码因为用户无法直接通过Web浏览器看到php文件的内容所以需要用phps文件代替。其实只要不用php等已经在服务器中注册过的MIME类型为文件即可但为了国际通用所以才用了phps文件类型。

它的MIME类型为text/html, application/x-httpd-php-source, application/x-httpd-php3-source。

访问index.phps

not allowed!
​
"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "
​
Access granted!
"; echo "
​
Key: xxxxxxx
"; } ?> Can you anthenticate to this website? 

代码审计

在此之前搞清楚urldecode urlencode的区别

urlencode()函数原理就是首先把中文字符转换为十六进制然后在每个字符前面加一个标识符%。 urldecode()函数与urlencode()函数原理相反用于解码已编码的 URL 字符串其原理就是把十六进制字符串转换为中文字符

发现这里在进行url解码如果解码后的变量id等于admin将会给出flag

浏览器本身会进行因此url解码这里相当于进行两次url解码只需要让id后的值等于admin进行两次url编码为了方便我们可以将a进行两次编码

对a字母进行两次url编码 第一次url编码a ==> %61 //a的ascii码是97而97的十六进制是61再加上一个%最终得到%61 第二次url编码%61 ==> %25%36%31 //分别对%61进行url编码%的ascii码是3737的hex值是25再加上一个%最终就是%256的ascii码是5454的hex值是36加上一个%最终就是%361同理

使用在线工具对a进行url编码的时候还是会得到a这时候就需要知道编码的规则 %25%36%31 == %2561

%2561解码一次得到 %61因为url编码是%加上两位数字所以先对%25进行url解码得到%本身而61是数字不用解码就得到%61 二次解码得到a %25%36%31 第一次解码 %25==>% %36==>6 %31==>1 于是解码一次得到 %61 解码第二次得到a

?id=%2561dmin

整串字符串编译

admin ==》 %2561%2564%256D%2569%256E

只要满足id二次解码后的值等于admin就可以了

flag出现

cyberpeace{e238759a84c30356093e8135f99bbd1c}