BUUCTF WEB Can You Guess it?

最新推荐文章于 2023-10-01 14:46:54 发布
最新推荐文章于 2023-10-01 14:46:54 发布
阅读量424 收藏
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/123246554
版权

代码审计,依旧有我们的老朋友preg_match,不会还有一个新朋友basename()
先看源码

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

$_SERVER[‘PHP_SELF’]用于获取当前带后缀的文件名,但由于apache的解析特性,他调用的其实是第一个文件后缀名
也就是说如果我的url是http://061f3b45-b4b9-4436-a86b-80baa90c1f7f.node4.buuoj.cn:81/index.php/config.php
他其实跳转到的是index.php页面
而basename函数则不同了,他读取的是最后一个后缀,这题考的其实也就是这个
$_SERVER[‘PHP_SELF’]是/index.php/config.php
到了basename里面他读到的是config.php,然后higlight_file
小demo:

<?php
$url='/index.php/config.php';
echo basename($url);
?>

下面问题就一个了,怎么绕过那么preg_match
preg_match(’/config.php/*$/i’, $_SERVER[‘PHP_SELF’])
写个脚本:

<?php
for($i=0;$i<255;$i++){
    $str="/index.php/config.php/".chr($i);
    preg_match('/config\.php\/*$/i', $str);
    echo $i.":".basename($str);
    echo "\n";
}
?>

这个正则匹配的是config.php结尾,其实只要后面有东西,除了%0A这些你告诉他正则匹配结束的,都会绕过的
以%aa为例,payload:/index/php/config.php/%aa
preg_match(’/config.php/*$/i’, $_SERVER[‘PHP_SELF’],由于他是%aa结尾,当然会过这个正则
到了basename这里,它会自动把%aa去掉,因为basename不接受大于128的ascii字符
于是自动被处理成了/index.php/config.php/,输出结果为config.php
参考视频链接:https://www.bilibili.com/video/BV1RU4y1Z71D/

显哥无敌
关注
专栏目录
2021-09-30 buuctf Can you guess it?
shallowskyandsea的博客
09-30 300
Can you guess it? 点击Source查看源码 题目告诉了我们flag的位置在config.php 不能以config.php结尾 这里还用到basename函数 basename() 函数会返回路径中的文件名部分 假如路径是/index.php/config.php basename后会返回config.php,就算后面跟上多余的字符也会返回文件名部分 在官方的英文描述中 With the default locale setting
[Zer0pts2020]Can you guess it?
Demonering的博客
07-10 497
知识点: bypass绕过 具体绕过: basename(),$_SERVER['PHP_SELF']和正则匹配 解题过程: 打开source发现源码 源码: <?php include'config.php';//FLAGisdefinedinconfig.php if(preg_match('/config\.php\/*$/i',$_SERVER['PHP_SELF'])){ exit("Idon'tknowwhatyouarethinking,...
BUUCTF】[Zer0pts2020]Can you guess it?
aoao331198的博客
06-08 470
源码 想要读取文件只能从这段入手(不知道另外一处有没有办法),正则表达式是表示不能以config.php为结尾 这里学习一个新知识接下来是 basename 它有个小问题,它会去掉文件名开头的非ASCII值。PL...
[BUUCTF][Zer0pts2020]Can you guess it?
Y4tacker的博客
10-03 4705
文章目录前置知识一些学到的新函数与新变量新变量属性-PHP_SELF新php函数-basenamebasename broken with non-ASCII-charsWP部分 前置知识 一些学到的新函数与新变量 新变量属性-PHP_SELF $_SERVER['PHP_SELF'] 表示当前 php 文件相对于网站根目录的位置地址,与 document root 相关 下面是本地测试截图,也就是http://.$_SERVER['HTTP_HOST'].$_SERVER['PHP_SELF'] 新ph
buuctf-[Zer0pts2020]Can you guess it?
最新发布
2202_75317918的博客
10-01 387
而且这个正则匹配只匹配路径的尾巴,因此index.php/config.php/abc.php就能绕过正则,因此思路就很明确了结合上面的basename介绍,就是在末尾加上。当前绝对路径不能有config.php,因为这里是index.php的源码,正常访问config.php没有问题,但是不能访问index.php/config.php。比如现在这个文件是在var/www/html/index.php,那么$_SERVER['PHP_SELF']代表的就是index.php。通过构造URI让其包含。
i春秋网络内生安全试验场CTF夺旗赛(第二季)部分Web题WriteUp
李熠专用博客_白帽子一枚,人称低危终结者
10-26 4758
1.easyphp 地址:http://120.55.43.255:13005/ 打开后查看源码,发现show.php。 该地址后有一个base64字符串,解码后内容为:hint.jpg 将首页地址index.php编码后,放到show.php可看到注释掉的php源码。 分析改源码可知,此题为反序列化的题,我们需要构造一个反序列化字符串的payload,通过clas...
What can you do?PPT课件5
12-25
同时,还引入了猜谜游戏(Can you guess?),让学生运用所学的句型进行猜测和回答,这样既增加了课堂趣味性,又强化了语言应用能力。 此外,课件还包含了读单词的环节(Read the words together),旨在确保学生...
You-draw-and-I-guess-master.zip_C# 游戏_You and I_i draw you guess
09-23
本项目——"You-draw-and-I-guess-master.zip",是使用C#编程语言实现的一个局域网内的你画我猜小游戏,旨在展示如何利用C#进行游戏开发以及实现简单的网络通信功能。 首先,我们要了解C#语言。C#是由微软公司开发...
BUUCTF WEB WELCOME TO THE EARTH
qq_41696858的博客
03-21 4536
日常刷题,打开场景,发现图片过了一段时间会变,看来有js代码 emmm,这题属于是送分题,找路径啥的属实没意思,不妨直接看最后的python脚本呢? 看页面内容 <!DOCTYPE html> <html> <head> <title>Welcome to Earth</title> </head> <body> <h1>AMBUSH!</h1> <p>
百道CTF刷题记录(一)
weixin_30344131的博客
04-17 1584
简介 最近在刷CTF题,主攻Web,兼职Misc Shiyanbar 0x01 简单的登陆题 简单概括: 考点: %00截断正则 CBC字节翻转攻击 难度: 难 WP:https://blog.csdn.net/include_heqile/article/details/79942993 解题过程: F12查看响应头,发现返回tips 访问test.php文件得到源代码: <?...
2017 NJCTF Web Guess
wywwzjj
12-30 1788
PHP 伪随机数安全问题
buuctf-Can you guess it?(代码审计)
m0_62094846的博客
05-15 355
random_bites:生成适合加密使用的任意长度的加密随机字节字符串 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)...
[Zer0pts2020]Can you guess it?(basename漏洞)
qq_54929891的博客
03-22 3164
点击source <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)"); } if (isset($_GET['source'])) { highl
实验吧 writeup
CHOOOU的博客
08-06 2725
实验吧 WP 有好几个题没做完,别骂我 WEB 认真一点! 没做出来~~~~~~~~~~~~~ 过滤了union sleep and 1’or’1’=’1 in 2’or’1’=’1 not 2’or’a’=’a in 2’or(ascii((select(database())))&amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;1)or’a’=’b 2’or(ascii(substring(select(dat..
攻防世界-leaking-(详细操作)做题过程
qq_43715020的博客
06-18 285
攻防世界-leaking-(详细操作)做题过程
BUUCTF之[Zer0pts2020]Can you guess it? basename函数绕过
weixin_44632787的博客
07-14 808
BUUCTF之[Zer0pts2020]Can you guess it? basename函数绕过 题目 后台PHP源码: <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you
function* startGame() { const answer = yield 'Do you love JavaScript?'; if (answer !== 'yes'){ return "Oh wow... Guess we're gone here"; } return 'JavaScript loves you back'; } const game = startGame(); console.log(); // 如何输出 Do you love JavaScript? console.log(); // 如何输出 JavaScript loves you back;
06-08
要输出 "Do you love JavaScript?",可以调用 `game.next().value`。 要输出 "JavaScript loves you back",需要在调用 `game.next(answer)` 时将 answer 设置为 'yes',然后获取返回值,即 `console.log(game.next('yes').value)`。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值