[Zer0pts2020]Can you guess it?(basename漏洞)

已于 2022-03-22 19:47:32 修改
阅读量2.9k 收藏 2
点赞数
文章标签: php 安全
于 2022-03-22 16:24:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/123662382
版权

点击source

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

首先我的方法是利用里面的黑名单来测试在哪里传参,在输入框里输入1可以发现对应的是post方式参数guess 

然后我的注意力全部在

 random_bytes(num)生成num个随机的字符,bin2hex(str)将字符转化为十六进制数方便我们观察,这里我就想到会不会是之前做过的一个题目,只要种子一样,随机数其实是定下来的,也就是所谓的伪随机数,这里还有一个比较函数hash_squals,比较两个字符串是否一样

这里我就鬼使神差的将64当作一个种子,进行编码进行提交,发现是个wrong,在网上查找random_bytes的漏洞发现没有找到。

最后才知道这里考的是basename这个函数的漏洞basename()绕过小结 - Ye'sBlog - 博客园 

include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$_SERVER['PHP_SELF']代表的当前php文件的绝对路径

 比如现在这个文件是在var/www/html/index.php,那么$_SERVER['PHP_SELF']代表的就是index.php,如果自己不太信的话,我们在原网页后面添加一个config.php看看会不会报错输出exit里面的语句

思路正确! 在看到下面if语句有一个highlight_file就肯定是远程文件包含漏洞了,现在我们的步骤是,如何让basename过后的文件名是config.php,再往前,如何让$_SERVER['PHP_SELF']代表config.php的时候同时绕过正则表达式,这就是我们的目标

不仔细看还看不出来,正则表达式其实应该是"/config.php/*$/i",注意这个$,它代表的是字符串末尾,意思就是只要我们config.php/后面加点东西就可以绕过了,现在就是basename的漏洞了

一个脚本跑了一下,发现后面的不可见字符绕过正则的同时而且会被basename忽略掉,从而依然是config.php,忽略不掉的config.php/m经过basename会变成m,但我这里不会在url连接上用不可见字符,看了别人的wp可以知道还有中文也可以绕过,汉字、?、《、》、;等中文字符,因为这里还要有一个source参数,因此我们可以构造payload为index.php/config.php/??source=记得第一个问号是中文的

-栀蓝-
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zer0pts-CTF-2021:zer0pts CTF 2021
05-06
zer0pts-CTF-2021 zer0pts CTF 2021 和彩云分流: 链接: 提取码:gZce
[鹤城杯 2021]EasyP
qq_62046696的博客
05-13 871
打开后发现要进行审查代码,然后前一个if flag都是迷惑的代码,没啥用 然后看后面发现都是陌生代码 陌生一:$_SERVE['PHP_SELF'] $_SERVE[‘PHP_SELF’] 读取的是当前执行脚本的文件名,意思就是读取文件夹下的一个文件如, 陌生二:$_SERVER['REQUEST_URI'] $_SERVER['REQUEST_URI']是取得当前URL的 路径地址 陌生三: basename() 大概含义我们可以理解为最后一个“/”后的所有数据 看完了以...
文件上传————ctfhub之双写绕过
qq_45655564的博客
05-29 664
CTFHub 文件上传——双写绕过 可以看到源代码 $name = basename($_FILES['file']['name']); $blacklist = array("php", "php5", "php4", "php3", "phtml", "pht", "jsp", "jspa", "jspx", "jsw", "jsv", "jspf", "jtml", "asp", "aspx", "asa", "asax", "ascx", "ashx", "asmx", "cer", "swf",
php basename() 绕过,【转】PHP里的basename函数不支持中文名的解决
weixin_42314192的博客
03-29 899
今天用到basename 函数获取文件名称时,发现如果是中文的文件名返回只有后缀的空文件名(如:.pdf)string basename ( string path [, string suffix] )说明给出一个包含有指向一个文件的全路径的字符串,本函数返回基本的文件名。如果文件名是以 suffix 结束的,那这一部分也会被去掉。方法一:按照网站上找到说法是此函数依赖于区域设置,如果是多字节名...
[Zer0pts2020]Can you guess it?
Yb_140的博客
11-05 313
代码审计+正则绕过
BUUCTF(11.14-11.22)
qq_52988816的博客
11-22 1653
记:上周抽空刷的BUU题目,记录一下解题过程的同时与大家分享交流 [Zer0pts2020]Can you guess it? 一个查询页面,提交东西提示wrong 有个源码链接,我们点开看一下 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you ar
【BUUCTF】[Zer0pts2020]Can you guess it?
aoao331198的博客
06-08 405
源码 想要读取文件只能从这段入手(不知道另外一处有没有办法),正则表达式是表示不能以config.php为结尾 这里学习一个新知识接下来是 basename 它有个小问题,它会去掉文件名开头的非ASCII值。PL...
CTF_2021_zer0pts
03-08
质询目录结构 ...│ │ ├── distfiles (The files in this directory are packed in tar.gz and it's distributed) │ │ │ └── ... │ │ │ │ │ ├── rawdistfiles (The files in t
zer0m0n:用于布谷鸟沙箱的 zer0m0n 驱动程序
06-05
zer0m0n v0.8 zer0m0n 是 Cuckoo Sandbox 的驱动程序,它将在恶意软件执行期间进行内核分析。 恶意软件作者有很多方法可以绕过 Cuckoo 检测,他可以检测钩子,硬编码 Nt* 函数来避免钩子,检测虚拟机......这个驱动...
zer0dump:滥用CVE-2020-1472(Zerologon)接管域,然后修复本地存储的计算机帐户密码
03-20
Zer0转储Zer0dump是PoC攻击/工具,用于滥用与CVE-2020-1472(Zerologon)相关的漏洞,以启动未打补丁的Windows域控制器的完整系统接管。特别感谢和
host0:Zer0net的托管服务
04-28
Peer0整合 在设置本地主机Web代理 回应来自同伴的基本要求 getFile PEX-对等交换 将完整的Zite下载并验证到本地存储 向跟踪器宣布资源可用性 零网络 HTTP UDP协议 使用Electron UI构建基本的管理仪表板 ...
BUUCTF刷题十一道(07)
qq_45837896的博客
06-21 1277
当我们传入index.php/config.php时,仍然请求的是index.php,但是当basename()处理后,highlight_file()得到的参数就变成了config.php,从而我们就实现了任意文件包含。需要根据已经有的前半部分字符串,利用php_mt_seed跑出伪随机数种子,再生成这个完整的字符串。读/proc/self/cwd/app.py也就是当前运行程序环境下的app.py。发现数据传到check.php,访问发现源码,考察伪随机数。有改密码功能,所以能显示,尝试二次。
2020-10-04
qq_45618121的博客
10-04 222
漏洞: xss csrf 点击劫持 sql注入 文件上传漏洞 ///////////////////// 漏洞利用: sqlmap beef-xss __________//////////////////__ 工具 burpsuite namp 御剑 awvs Hydra Metasploit
spdlog 日志库部分源码说明——让你可以自定义的指定自动切换日志时间
最新发布
ALex_zry的博客
04-22 487
针对 网络上spdlog日志库目前存在的使用方式固定,不能发挥这个库本身应有价值的情况,这里对一些支持场景进行说明,以供初学者省去阅读源码的时间,直接上手使用。
用matlab实现以下: 初始化一个矩阵,A=zer0s(36,1),分别将数字1至36带入函数for_xishu中运算,将运算得到得值分别赋给A中对应位置的元素,例如把1带入函数for_xishu中运算,将得到的值赋给矩阵A的第一个元素。
06-11
好的,下面是 Matlab 的代码实现: ```matlab A = zeros(36,1); % 初始化矩阵 A for i = 1:36 % 循环从 1 到 36 A(i) = for_xishu(i); % 调用 for_xishu 函数,并将结果赋值给 A 的第 i 个元素 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值