[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-08-17 00:44:04 发布
最新推荐文章于 2024-08-17 00:44:04 发布
阅读量2k 收藏 4
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41628669/article/details/106133128
版权
本文详细介绍了BJDCTF2020中关于ZJCTF的一道题目,涉及到php://input、filter伪协议以及preg_replace()函数的/e模式导致的命令执行漏洞。通过分析题目源码,指出当pattern含有/e模式时,可以将第二个参数作为代码执行。文章还讲解了正则表达式的反向引用概念,并给出了利用payload的构建过程,最后讨论了GET参数中点号(.)被替换为下划线(_)的问题,以及解决方案和参考资料。
摘要由CSDN通过智能技术生成

 

知识点

  • php://input
  • filter伪协议
  • preg_replace() /e模式命令执行
    题目源码
<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

 

读取一下next.php


在这里插入图片描述

#next.php
<?php
$id = $_GET['
最低0.47元/天 解锁文章
「已注销」
关注
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 1982
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2369
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF2020]ZJCTF不过如此(wp)
wikey 的博客
03-30 310
看到file_get_contents()函数,就要联想到用php伪协议,需要用data://协议用filter协议去读下next.php的源码。一道老题,nss和buu上都有这道题,但是同样的步骤在buu上可以做出来但是nss平台上有点问题,就以buu为讲解。data://数据流封装器,以传递相应格式的数据。
[BJDCTF 2020]ZJCTF不过如此解题思路(preg_replace \e 模式中的漏洞)
最新发布
2301_80307383的博客
08-17 679
2.在php中,双引号里面如果包含有变量,php解释器会将其替换为变量解释后的结果;3.初始payload:.*={${phpinfo()}} ,即 GET 方式传入的参数名为 .* ,值为 {${phpinfo()}}\S*=${getFlag()}&cmd=eval($_POST[1]);所以要换为\S*=${phpinfo()}
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1772
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 640
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
ZJCTF不过如此
evil_ming的博客
05-07 83
打开靶机 看见if知道条件要求写text函数包含i have a dream。 一整个疑惑住,返回重看一下发现漏了个点,重新补上要求包含的next.php。 index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php base64解码 next.php?\S%2b=${getFlag()}&cmd=system(
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 1999
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
审计练习12——[BJDCTF2020]ZJCTF不过如此
qq_43756333的博客
06-04 600
平台:buuoj.cn 打开靶机得源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&gt
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
[bjdctf2020]zjctf不过如此
03-16
[bjdctf202]zjctf不过如此,是一道比赛题目的名称。具体的题目内容和解法我不清楚,因为我只是一个人工智能语言模型,没有参加过这个比赛。不过,如果您有相关的问题或者需要帮助,我会尽力回答和帮助您。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值