i春秋 百度杯code

进入页面只有一张图片 url上有jpg参数，大概是文件读取
改jpg参数为index.php
得到index.php源码的base64 但是没啥用
看到wp里说 phpstrom创建的项目下会有.idea文件夹，含misc.xml,modules.xml,workspace.xml等文件
进入/.idea/wordspace.xml，发现有index.php，config.php，fl3g_ichuqiu.php三个文件
在index.php源码中知道config.php文件读不到，只能读一下fl3g_ichuqiu.php，构造参数jpg=fl3gconfigichuqiu.php，因为参数中不能含除.以外的其他符号但是config会被替换为_。
读到源码后发现是一个cookie加密的代码，要求我们伪造出system的cookie。代码如下：

<?php
/**
 * Created by PhpStorm.
 * Date: 2015/11/16
 * Time: 1:31
 */
error_reporting(E_ALL || ~E_NOTICE);
include('config.php');
function random($length, $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz') {
    $hash = '';
    $max = strlen($chars) - 1;
    for($i = 0; $i < $length; $i++) {
        $hash .= $chars[mt_rand(0, $max)];
    }
    return $hash;
}//在chars参数中随机选择length个字符

function encrypt($txt,$key){
    for($i=0;$i<strlen($txt);$i++){
        $tmp .= chr(ord($txt[$i])+10);//后移10
    }
    $txt = $tmp;
    $rnd=random(4);
    $key=md5($rnd.$key);//随机数和key参数md5
    $s=0;
    for($i=0;$i<strlen($txt);$i++){
        if($s == 32) $s = 0;
        $ttmp .= $txt[$i] ^ $key[++$s];//txt和key异或
    }
    return base64_encode($rnd.$ttmp);
}
function decrypt($txt,$key){
    $txt=base64_decode($txt);
    $rnd = substr($txt,0,4);
    $txt = substr($txt,4);
    $key=md5($rnd.$key);

    $s=0;
    for($i=0;$i<strlen($txt);$i++){
        if($s == 32) $s = 0;
        $tmp .= $txt[$i]^$key[++$s];
    }
    for($i=0;$i<strlen($tmp);$i++){
        $tmp1 .= chr(ord($tmp[$i])-10);
    }
    return $tmp1;
}
$username = decrypt($_COOKIE['user'],$key);
if ($username == 'system'){
    echo $flag;
}else{
    setcookie('user',encrypt('guest',$key));
    echo "╮(╯╰)╭";

在这里我首先想到的是爆破key，但是由于5位且没有其他任何信息，可能的值有128^5个，我这里没有成功爆出来
再看加密的源码，发现key是用来的明文异或的，由于异或的性质（a^a=0;a^0=a），我们可以构造payload：

$s=base64_decode('QkNBdxVPCkxI');//这里是响应中的cookie user值
$txt='guest';$m='system';
$rnd = substr($s,0,4);
$txts = substr($s,4);
for($i=0;$i<strlen($txt);$i++){
    $tmp .= chr(ord($txt[$i])+10);//后移10
}
$txt=$tmp;$tmp='';
for($i=0;$i<strlen($m);$i++){
    $tmp .= chr(ord($m[$i])+10);//后移10
}
$m=$tmp;
for($i=0;$i<5;$i++){
    $temm.=$m[$i]^$txt[$i]^$txts[$i];
}
for($i=0;$i<128;$i++)
    echo base64_encode($rnd.$temm.chr($i)).'<br>';

因为guest只有5位，所以我们只能利用guest的密文对system前5位进行加密，最后一位直接爆破即可，可以生成128个密文，放进burp爆破就能出结果了。