ctfshow web入门 PHP特性学习笔记91

最新推荐文章于 2023-10-25 21:11:21 发布
最新推荐文章于 2023-10-25 21:11:21 发布
阅读量2.4k 收藏
点赞数
分类专栏: ctfshow 文章标签: php 前端 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Hezhoutheone/article/details/121337692
版权

web 91

payload: ?cmd=php%0a1 

show_source(__FILE__);
include('flag.php');
$a=$_GET['cmd'];
if(preg_match('/^php$/im', $a)){
    if(preg_match('/^php$/i', $a)){
        echo 'hacker';
    }
    else{
        echo $flag;
    }
}
else{
    echo 'nonononono';
}

^表示匹配开始,$表示匹配结束

/i 表示匹配的时候不区分大小写;

/m 表示多行匹配,什么是多行匹配呢?就是匹配换行符两端的潜在匹配。影响正则中的^$符号

 首先需要匹配到的是一行php,因为有/m,所有可以带换行符,第一次匹配到第一行php就算匹配成功,进行下一轮正则。

就可以放过,进行下一次的匹配,第二次的匹配不带/m所以可以匹配到所有的字符,匹配到的是:

php

11

因此不满足正则条件,下放到else中输出flag

拾花问酒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C#Web应用程序入门经典学习笔记之二
01-20
读取Web.config中设置 Conn = new SqlConnection(ConfigurationSettings.AppSettings[“cnFriends.ConnectString”]); <appSettings> <!– User application and configured property settings go ...
C#Web应用程序入门经典学习笔记之一
01-01
最近看了《Beginning C# Web Applications Wtith Visual Studio .Net 》。感觉这本书在一些细节方面写的不错,特做笔记,为后来者提供一些或许有用的东东。今天先写出来一些,年前正确整理完。 当前日期: ...
CTFshow php特性 web91
Kradress的博客
12-13 788
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:16:09 # @link: https://ctfer.com */ show_source(__FILE__); include('flag.php'); $a=$_
Ctfshow web入门-php特性-web89-91 WP
qq_45427131的博客
05-25 1011
web89 查看代码 preg_match过滤0-9,即发现有0-9,就输出no no no 然而intval函数的作用是返回变量的整数值,两者相互矛盾 这里可以通过数组绕过,构造payload: ?num[]= 成功获取flag web90 查看源码,第一个if是验证num是否被设置,第二个if验证num是否是4476,如果是,就输出no no no ,第三个if验证num取整后是否等于4476 看到取整,还不好做吗~,直接输入小数取整绕过第二个if的验证 payload?num=4476.1
ctfshow-web91(php特性)
m0_62094846的博客
01-13 667
正则:会出现/ / 有时候也会有^ $ 考察了preg_match的/m模式 im模式是可以匹配很多行 i模式只能匹配一行 %0a换行,相当于enter <?php /* # -*- coding: utf-8 -*- # @Author: Firebasky # @Date: 2020-09-16 11:25:09 # @Last Modified by: h1xa # @Last Modified time: 2020-09-18 16:16:09 # @link: http
CTFshow_web入门_PHP特性_web91
weixin_43896504的博客
07-20 158
PHP特性-多行匹配绕过
CTFshow-Web入门》10. Web 91~110
学习学习学习......
10-01 7983
PHP 特性之 preg_match(),换行解析漏洞、intval(),== 与 === 的区别、md5()、in_array()、三元运算、赋值运算【=】优先级、ReflectionClass($class) 建立反射类、is_numeric() 特性,call_user_func() 与 hex2bin() 利用,PHP 伪协议、sha1()、变量覆盖、parse_str() 利用、ereg() 截断漏洞、__toString() 与类触发、FilesystemIterator 类,getcwd()。
PHP学习笔记之二 php入门知识
01-20
PHP学习笔记之二 1. 数组 PHP的数组其实是一个关联数组,或者说是哈希表。PHP不需要预先声明数组的大小,可以用直接赋值的方式来创建数组。例如: //最传统,用数字做键,赋值 $state[0]=”Beijing”; $state[1]=”...
STM32学习笔记入门学习笔记
12-07
是看B站大神“江科大自化协”的STM32入门视频期间整理的学习笔记。分享出来供大家参考。 不创造知识,只是知识的搬运工。 大家也可以到这位B站大神那里观看视频...
CTF练习题WP4
m0_73891130的博客
03-25 134
自己写的CTF常用网站的练习题目的WP,当然也有参考网上的大佬的WP
ctfshow-web入门-php特性
qq_43618536的博客
07-11 1252
ctfshow-web入门-php特性
CTFshow-PHP特性89-90
weixin_51706044的博客
09-29 787
web89 if(isset($_GET['num'])){<br /> $num = $_GET['num'];<br /> if(preg_match("/[0-9]/", $num)){ //正则匹配参数不能为0-9<br /> die("no no no!");<br /> }<br /> if(intval($num)){ //返回num参数的值是,整数型<br /> echo $flag;<br /> }&lt.
91php,ctfshowWeb入门89-91
weixin_26808205的博客
03-29 740
0x01Web89-91PHP特性payloadWeb89include("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){$num = $_GET['num'];if(preg_match("/[0-9]/", $num)){die("no no no!");}if(intval($num)){echo $flag;}}//...
CTF show WEB9
羽的博客
02-16 3828
题目地址https://ctf.show 尝试简单的万能密码以及过滤绕过,各种方法均没有回显。 查看网站源代码, 没有提示。 这时候猜测可能有其他页面,直接后台目录扫描,发现index.phps源代码文件。 发现有这么一行 $sql="select * from user where username ='admin' and password ='".md5($password,true)."'...
CTFShow PHP特性
paidx0
07-03 643
##开始PHP特性 web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; preg_match()返回 pattern的匹配次数。 它的值将是0次(不匹配)或1次,因为preg_match()在第一次匹配后 将会停止搜索。 可以通
CTFshow web入门web91-php3
最新发布
weixin_74336671的博客
10-25 52
i表示匹配大小写,/m表示多行匹配 , "行首"元字符 (^) 仅匹配字符串的开始位置**,**而"行末"元字符 ($) 仅匹配字符串末尾,字符 ^ 和 $ 同时使用时,表示精确匹配,需要匹配到以php开头和以php结尾的字符串才会返回true。是要求我们多行匹配到php但是单行匹配不到php。//%0a表示换行符,由题可知可多次使用此符号。
CTFSHOW PHP特性篇(上篇 89-110)
羽的博客
10-21 5512
web89 if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 考察点:数组绕过正则表达式 官方文档中如下介绍 返回值 返回完整匹配次数(可能是0),或者如果发生错误返回FALSE。 也就是说如果我们不按规定传一个字符串,
php特性绕过
None安全团队
08-03 1039
preg_match() 函数无法处理数组 导致被绕过 payload: ?num[]=1 1 2 3 4 5 6 7 8 9 10 11 12 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!");
安洵杯【电成】
qq_53460654的博客
12-15 1118
感觉是新生赛,但是不知道为啥办成公开赛,不理解 webshell 根据提示访问20211025232429.png! /Application/Runtime/Logs/Home/21_10_25.log 找到/2591c98b70119fe624898b1e424b5e91.php(shell.php 然后弱口令hack进入根目录得到flag flag{87b126f152ed3d89} mima 账号:admin 密码邮箱:kcctf@hacker.top flag{49ba59abbe56e05
ctfshow web sql
08-23
根据引用和引用所提供的信息,可以看出ctfshow是一个与web相关的CTF竞赛,并且有与之相关的web175和web172题目。而引用则提供了一个涉及到SQL注入的链接。根据链接中的内容,可以推测这个链接是利用了SQL注入漏洞来获取数据库中的密码信息并将其写入到指定文件中。因此,可以得出结论,ctfshow web sql竞赛是一个围绕web安全中的SQL注入漏洞进行的CTF竞赛。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ctfshow笔记WEB中sql(SQL)](https://blog.csdn.net/m0_46625346/article/details/119332170)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值