php 以-截取剩余的字符串_网络安全WEB之PHP代码审计,攻防世界题目warmup

最新推荐文章于 2021-03-24 19:37:56 发布
最新推荐文章于 2021-03-24 19:37:56 发布
阅读量115 收藏
点赞数
文章标签: php 以-截取剩余的字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32636413/article/details/113310914
版权

预备知识:

文件包含相关知识:include 'xxx', 所包含的xxx文件会当作PHP代码执行。

include 'xxx/../123.php'# PHP中默认和 include './xxx/../123.php' 等效

首先这是一个相对路径,相对于当前目录而言
在解析这段路径的时候,首先先检查每一个目录名是否正确,此外,由于 / 的存在,会将xxx当作一个目录,即使这个目录并不存在,而../表示返回上一层目录,所以就是,进入当前目录下的xxx目录再返回上一个目录,结果依然在当前目录,最后在当前目录下寻找123.php。

134b799e44bf6a3c38ffe94446988b23.png

CMD下

# 寻找123.php..这个目录下的123.php# 在win下这样写直接报错,因为123.php..会被win10系统强制改为123.php# 那么php在找123.php..这个目录的时候,就找不到了include '123.php../123.php'# 寻找上一层目录下的123.php# 这行代码不会报错,即使123.php..这个目录不存在。include '123.php../../../123.php' 相当于 include './132.php../../../123.php'# 123.php..当作一个目录存在# 两个../向上返回两层目录,对于当前目录而言,相当于返回上一层目录,最后寻找123.php,

PHP函数说明:

  1. in_array ():in_array() 函数搜索数组中是否存在指定的值。
<?php $people = array("Bill", "Steve", "Mark", "David");if (in_array("Mark", $people))  {  echo "匹配已找到";  }else  {  echo "匹配未找到";  }?>

2.mb_substr() : 用于截取字符串的长度。

<?php echo mb_substr("喵喵视角", 0, 2);  // 输出:视角//0代表从第零个位置开始,2代表截取的长度为2?>
  1. mb_strpos():返回要查找的字符串在别一个字符串中首次出现的位置。
<?php $str = 'miaomiaoshijiao';echo mb_strpos($str,'shi');//返回值为8?>

好啦,准备工作欧克了,开始看题目吧:

e62da0737f7d356ff1768dc7b92a40f1.png

打开题目是一个猥琐的笑脸

打开F12 ,查看一下元素:

c554666595489be5767f59b1914daeb1.png

发现

访问一下source.php:

ee6fb3121755ad0c788ed05cf7f1a0e7.png

代码部分

 public static function checkFile(&$page)        {            $whitelist = ["source"=>"source.php","hint"=>"hint.php"];            if (! isset($page) || !is_string($page)) {                echo "you can't see it";                return false;            }            if (in_array($page, $whitelist)) {                  return true;            }            $_page = mb_substr(   //该代码表示截取$page中'?'前部分,若无则截取整个$page                $page,                0,                mb_strpos($page . '?', '?')            );             if (in_array($_page, $whitelist)) {  //若$page变量存在于$whitelist数组中 ,返回true                return true;            }            $_page = urldecode($page);            $_page = mb_substr(                $_page,                0,                mb_strpos($_page . '?', '?')            );            if (in_array($_page, $whitelist)) {                return true;            }            echo "you can't see it";            return false;        }

我们主要看checkFile里的代码:可以看到,定义了白名单,我们访问白名单,发现了flag存在的文件。

fa89b646c592b18e83a4fab7b87ca6cd.png

然后这个就没用了。

  • 第一个if语句对变量进行检验,要求$page为字符串,否则返回false
  • 第二个if语句判断$page是否存在于$whitelist数组中,存在则返回true
  • 第三个if语句判断截取后的$page是否存在于$whitelist数组中,截取$page中'?'前部分,存在则返回true
  • 第四个if语句判断url解码并截取后的$page是否存在于$whitelist中,存在则返回true
    若以上四个if语句均未返回值,则返回false

$page = hint.php?../../ffffllllaaaagggg

mb_substr()将截取 $page, 截取内容为 hint.php

$_page = hint.php ,$_page 出现在 whitelist 中, 然后 return true; 执行 include $_REQUEST['file'] 也就是 include 'hint.php?../../ffffllllaaaagggg'

构造:?file=hint.php?../../.../ffffllllaaaagggg  (逐次往上一级目录跳转)//需要对?进行二次编码处理。
afd5f492a5729b1ce0042108c46db39c.png

得到flag

总结:

  1. cd dasdas/../ 还是在当前目录
  2. windows下,由于目录不能出现特殊符号,所以对于本题的第三个if ,无法使用, 但是在Linux下,我们可以使用 file=hint.php?/../../../../etc/passwd
406ac0d06545ae0325daea03b7ef1000.png

运行结果

菜鸡上路,多多关照,如有错误,欢迎指出。

休斯敦飞行大队
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php ip地址白名单,php - 带有通配符的PHP IP地址白名单 - 堆栈内存溢出
weixin_36116366的博客
04-09 159
解决和解释@Chin Leung的答案:/*** Returns if the given ip is on the given whitelist.** @param string $ip The ip to check.* @param array $whitelist The ip whitelist. An array of strings.** @return bool*...
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 645
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
php代码审计
qq_44832048的博客
10-28 549
highlight_file(__FILE__); //打印代码 class emmm //定义emmm类 { public static function checkFile(&$page)//将传入的参数赋给$page { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//声明$whitelist(白名单)数组 ...
php简单截取字符串代码示例
12-18
本文实例讲述了php简单截取字符串的方法。分享给大家供大家参考,具体如下: //截取摘要 public static function mbsubstr($str){ $strleng = mb_strlen($str,"utf8"); $mbstr = mb_substr($str,0,140,'utf8'); $strdstr = mb_substr($str,140,$strleng,'utf8'); $strlengs = mb_strlen($strdstr,'utf8'); $strc = ""; for($i=0;$i<$strlengs;$i++){
php 截取utf-8格式的字符串实例代码
10-21
主要介绍了php 截取utf-8格式的字符串实例代码的相关资料,并附实例代码,需要的朋友可以参考下
php截取指定字符串之间的字符串的类.zip
07-11
一个php截取指定字符串之间的字符串的类,介绍一个php截取指定字符串之间的字符串的类,需要的朋友可以自行下载学习使用。
php截取utf-8中文字符串乱码的解决方法
12-17
复制代码 代码如下:function utf8_substr($str,$len) { for($i=0;$i<$len;$i++) { $temp_str=substr($str,0,1); if(ord($temp_str) > 127){ $i++; if($i<$len){ $new_str[]=substr($str,0,3); $str=substr($...
php+返回剩余字符串,返回php字符串
weixin_39622905的博客
03-24 519
PHP中常用的18个字符串函数字符串函数是PHP基础操作中必不可少的一部分,也是最重要的部分之一,本文将常用的十几个字符串操作列出,并介绍,希望对大家有所帮助。字符串格式化字符串截断:trim():删除字符串首尾位置的(回车、换行、制表符)字符,并返回结果字符串同时,trim()参数也可以设置自定义的特殊字符过滤列表...文章请叫我可儿2019-11-12585浏览量PHP5常用函数PHP已经更新...
CTF 00截断
luminous_you的博客
12-08 1607
PHP 5.2 00截断上传的原理 php解释器是C语言编写的 C语言中学过字符串的结尾会有00作为字符串结束的标志 在url中%00表示ascll码中的0 ,而ascii中0作为特殊字符保留,表示字符串结束,所以当url中出现%00时就会认为读取已结束 0x00,%00,/00之类的截断,都是一样的 hex编码修改 更改相应的字节 0x20->0x00【20是空格】 https://blog.csdn.net/qq_26090065/article/details/81458937 %00截断有两
[HCTF 2018]WarmUp —— PHPMyadmin4.81文件包含的漏洞
hhh
09-25 1322
很久以前写过这道题,当时绕不过去看着wp写出来,最后也没有完全搞明白,今天又遇到,结果还是没想到QAQ,果然写题目的意义还是知识点www [HCTF 2018]WarmUp题解 首先f12查看源码,发现一个hint: 于是访问source.php,得到审计的源代码: <?php highlight_file(__FILE__); class emmm { ...
php 以-截取剩余字符串_10分钟从PHP到Python
weixin_33524659的博客
01-15 187
微信公众号:PHP在线1 用途 2 语法 3 字符串 4 注释 5 数组 6 类和对象PHP和Python都是解释性语言,用过PHP一般再学Python就比较容易,毕竟很多概念都一样。当然,反过来也一样,会Python再入手PHP,也很简答。不过如果要使用框架,那就得稍微多用些力气。这里我们以语言本身为主,就暂不讨论框架。1 用途我是先用PHP,再学Python,所...
CTF-web 第八部分 常见加密与文件包含 伪协议
iamsongyu的博客
11-05 2109
(1)加密解密等 我们在做题的时候,经常会遇到一些奇怪的加密解密的字符串,这就需要我们能够识别一些比较常用的。        1.base64         这是一个常用的编码,而且原理也十分简单,非常容易得到原内容。 三字节变为四字节 前面补两个0。  所谓Base64,就是说选出64个字符----小写字母a-z、大写字母A-Z、数字0-9、符号"+"、"/"(再加上作为垫字的"=",实...
php 字符串截取_网络安全WEBPHP代码审计攻防世界题目warmup
weixin_39653078的博客
12-06 78
预备知识:文件包含相关知识:include 'xxx', 所包含的xxx文件会当作PHP代码执行。include 'xxx/../123.php'# PHP中默认和 include './xxx/../123.php' 等效首先这是一个相对路径,相对于当前目录而言在解析这段路径的时候,首先先检查每一个目录名是否正确,此外,由于 / 的存在,会将xxx当作一个目录,即使这个目录并不存在,而../表示...
Java-String
Just__2009的博客
09-07 1562
任何字符串都是String类的对象,字符串是不变的,它们的值在创建后无法更改 在字符串的内部,是用一串字符char[]来存储的。因为数组一经确定长度无法更改,所以字符串一经创建就无法更改。 如果两个字符串内容相同,则他俩使用同一个内存地址,所以可以共享它们 public class Demo2 { public static void main(String[] args) { String s1 = "123"; String s2 = "123"; St
BUU刷题记录——1
weixin_43610673的博客
06-03 729
[HCTF 2018]WarmUp hint.php中给了flag的位置: flag not here, and flag in ffffllllaaaagggg checkFile()会截取到第一个问号: $_page = mb_substr( $_page, 0, mb_strpos($_page . '?', '?') ); source.php?/会被当作目录,之后回溯目录就好了
SQL花式延时/布尔注入与PHP白名单函数利用方法
publicStr的博客
04-26 1225
0x01 冗长的前奏: 来源于两道CTF题目,引发自闭中的一点点思考。 想中止这一切菜鸡的挣扎。 (顺便分享一篇大佬的SQL注入文章https://blog.csdn.net/nzjdsds/article/details/86767711) 0x02 CTF中的强行时间盲注 2-1题目情况: 2-2题目思路 先尝试常规方法 ...
ctf php正则截断,BugkuCTF—代码审计—WriteUp(持续更新)
weixin_29628635的博客
03-17 481
BugkuCTF—代码审计—WriteUp(持续更新)extract变量覆盖首先分析下代码:extract函数:image.png[http://123.206.87.240:9009/1.php](http://123.206.87.240:9009/1.php)$flag='xxx';extract($_GET);if(isset($shiyan)) //shiyan这个变量不能为空{$co...
"深入学习PHP-Web应用开发案例教程:字符串操作与正则表达式
字符串截取可以使用substr()函数来实现,该函数接受一个字符串和起始位置以及截取的长度作为参数,返回截取后的子字符串字符串查找可以使用strpos()函数来实现,该函数接受一个字符串和要查找的子字符串作为参数,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值