攻防世界--PHP2

PHP2

进入场景

翻译： 你能访问这个网站吗？

扫描一下后台文件

not allowed!​"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") { echo "​Access granted!"; echo "​Key: xxxxxxx"; } ?> Can you anthenticate to this website? 

代码审计

在此之前搞清楚urldecode urlencode的区别

urlencode()函数原理就是首先把中文字符转换为十六进制，然后在每个字符前面加一个标识符%。 urldecode()函数与urlencode()函数原理相反，用于解码已编码的 URL 字符串，其原理就是把十六进制字符串转换为中文字符

发现这里在进行url解码，如果解码后的变量id等于admin将会给出flag

浏览器本身会进行因此url解码，这里相当于进行两次url解码，只需要让id后的值等于admin进行两次url编码，为了方便我们可以将a进行两次编码，

对a字母进行两次url编码 第一次url编码：a ==> %61 //a的ascii码是97，而97的十六进制是61，再加上一个%，最终得到%61 第二次url编码：%61 ==> %25%36%31 //分别对%，6，1进行url编码，%的ascii码是37，37的hex值是25，再加上一个%，最终就是%25，6的ascii码是54，54的hex值是36，加上一个%，最终就是%36，1同理

使用在线工具对a进行url编码的时候，还是会得到a，这时候就需要知道编码的规则 %25%36%31 == %2561

%2561解码一次得到 %61，因为url编码是%加上两位数字，所以先对%25进行url解码得到%本身，而61是数字不用解码，就得到%61 二次解码得到a %25%36%31 第一次解码 %25==>% %36==>6 %31==>1 于是解码一次得到 %61 解码第二次得到a

?id=%2561dmin

admin ==》 %2561%2564%256D%2569%256E

只要满足id二次解码后的值等于admin就可以了

flag出现

cyberpeace{e238759a84c30356093e8135f99bbd1c}

来源地址：https://blog.csdn.net/qq_39291229/article/details/128716186