【buuctf】 NewStarCTF 公开赛赛道 web：Word-For-You、NotPHP

1、从最外层开始：需要实现get得到的data值能够与Welcome to CTF完全相等

(file_get_contents($_GET['data']) == "Welcome to CTF")

这边因为我也是小白就不细讲了，如果需要可以详细的研究研究这些函数，大致说一下：file_get_contents（）应该是存在漏洞，能够通过伪协议，来构造使得data值能够与Welcome to CTF完全相等。

构造的语句：http://url/?data=data://text/plain;base64,V2VsY29tZSB0byBDVEY

其中：V2VsY29tZSB0byBDVEY是Welcome to CTF通过base64加密的来的。

执行结果：

第一个if成功绕过， 输出了Wrong Key!语句

2、第二层：这一层是一个md5绕过，主要内容是实现key1与key2初始值不同，同时满足md5加密后的值相等。

(md5($_GET['key1']) === md5($_GET['key2']) && $_GET['key1'] !== $_GET['key2'])

这个题也很常见，实现方法就是使得key1，key2分别为两个不同的数字，php的md5函数无法处理数组，所以返回的会是null（）

构造语句：http://url/?data=data://text/plain;base64,V2VsY29tZSB0byBDVEY=&key1[]=1&key2[]=3

执行结果：

 3、第三层：这边是两个函数，is_numeric()与intval()，is_numeric()：数字和数字字符串则返回 TRUE，否则返回 FALSE。要使!is_numeric()为真就得使得is_numeric()为假，所以num的值应该数字或者数字字符串。ntval()函数为取证函数，根据题意需要取整后等于2077.取整的字符串，取决于字符串最左侧的字符，遇到字母结束，所以最后使用：2077b来绕过

(!is_numeric($_POST['num']) && intval($_POST['num']) == 2077)

 构造语句：num=2077s（这地方需要post传参）

执行结果：

4、最后，刚从刚刚的地方爬起来，我又摔倒了。

 cmd=system('ls');   语句不能执行，心态炸裂，我是大菜鸡！！！！

最后请教了我的好哥哥，我的好哥哥说：因为eval("#".$_GET['cmd']);这个地方是#号，需要闭合才能执行后面的变量

这地方需要构造语句（同时还需要post传参）：
http://url/?data=data://text/plain;base64,V2VsY29tZSB0byBDVEY=&key1[]=1&key2[]=3&cmd=?>

执行结果：

5、最最后，在ls处，执行语句就可以了，pwd看看路径，ls / 看看根下面有啥，最后找到了在根下，有个flag，cat /flag，就找到了

完工，这题我个人认为，是这几个题目中最难的，感觉挺麻烦的，不过最终终于搞出来了，很开心，我是大菜鸡，拜拜，下班！ 

来源地址：https://blog.csdn.net/weixin_46497491/article/details/126998485