【学习笔记 39】 buu [BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-06-17 22:56:29 发布
最新推荐文章于 2024-06-17 22:56:29 发布
阅读量334 收藏
点赞数 1
分类专栏: ctf 学习笔记 PHP 文章标签: php 编程语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43553654/article/details/107735341
版权

0x00 知识点

  1. 文件包含伪协议
  2. preg_replace()使用的/e模式可以存在远程执行代码

0x01 知识点详解

  1. 什么伪协议?
    答:PHP伪协议事实上就是支持的协议与封装协议
    一共有一下12种

a. file:// — 访问本地文件系统

b. http:// — 访问 HTTP(s) 网址

c. ftp:// — 访问 FTP(s) URLs

d. php:// — 访问各个输入/输出流(I/O streams)

e. zlib:// — 压缩流

f. data:// — 数据(RFC 2397)

g. glob:// — 查找匹配的文件路径模式

h. phar:// — PHP 归档

i. ssh2:// — Secure Shell 2

j. rar:// — RAR

k. ogg:// — 音频流

l. expect:// — 处理交互式的流

每个协议的具体作用可以去看这篇大佬的博客
本题就需要利用data伪协议读取I have a dream,然后用filter伪协议读取next.php。

  1. 为什么preg_replace()使用的/e模式会导致代码执行?
    答:原本preg_replace 函数只是用来执行一个正则表达式的搜索和替换,但是当 preg_replace 使用了 /e 模式,导致可以代码执行,而且该函数的第一个和第三个参数都是我们可以控制的。我们都知道, preg_replace 函数在匹配到符号正则的字符串时,会将替换字符串(也就是 preg_replace 函数的第二个参数)当做代码来执行,这时候如果我们利用传参的方式将第二个参数固定成我们想要执行的命令。那我们不就实现了远程命令执行。具体细节可以去看这位大佬的博客

0x02 解题思路

  1. 打开网站经典代码审计
<?php

error_reporting(0);
$text = $_GET["text"];
$file =
最低0.47元/天 解锁文章
Noslpum
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buu做题笔记——[BJDCTF2020]ZJCTF不过如此&CISCN2019 华北赛区 Day2 Web1]Hack World
weixin_46330722的博客
11-05 322
BUU[BJDCTF2020]ZJCTF不过如此CISCN2019 华北赛区 Day2 Web1]Hack World [BJDCTF2020]ZJCTF不过如此 题目源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<
[BJDCTF2020]ZJCTF不过如此
pakho_C的博客
02-26 4063
web第39题 [BJDCTF2020]ZJCTF不过如此 打开靶场 有点眼熟 参考我做的另一道题:buuctf初学者学习记录–[ZJCTF 2019]NiZhuanSiWei 代码审计: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ ec
[BJDCTF2020]ZJCTF不过如此1
最新发布
m0_73673698的博客
06-17 1015
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解)
小宇的web博客
02-12 1569
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解) 打开题目: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')
web buuctf [BJDCTF2020]ZJCTF不过如此
weixin_44214568的博客
03-23 1981
考点:正则匹配; 正则-反向引用; preg_replace /e模式漏洞 1. 一路做buuctf下来, web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-CSDN博客 和这题的思路一样,不做赘述,主要是利用php伪协议 1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密) file=php://filter/read=convert..
[BJDCTF2020]ZJCTF不过如此(wp)
wikey 的博客
03-30 206
看到file_get_contents()函数,就要联想到用php伪协议,需要用data://协议用filter协议去读下next.php的源码。一道老题,nss和buu上都有这道题,但是同样的步骤在buu上可以做出来但是nss平台上有点问题,就以buu为讲解。data://数据流封装器,以传递相应格式的数据。
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
yanglinchiji的博客
11-20 249
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
BUU刷题--[BJDCTF2020]The mystery of ip [BJDCTF2020]ZJCTF不过如此
weixin_48631429的博客
12-02 181
The mystery of ip 三个php文件,点进去都没啥收获。只有在flag看到了自己ip,除了想到xff头,完全就没思路了。 抓个包修改xff头看一下 ip可控,然后呢,然后呢,就不会了。。。。。 看大佬wp之后,emmm,ip还能模板注入 然后就是命令执行找flag 感觉关键是要能想到这个ip能模板注入吧 ZJCTF不过如此 打开看到源码。 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"
BUU-WEB-[BJDCTF2020]ZJCTF不过如此
qq_24033605的博客
05-15 130
[BJDCTF2020]ZJCTF不过如此 php代码审计。 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1&g
BUU [BJDCTF2020]ZJCTF不过如此
Jay17的博客
07-05 253
BUU [BJDCTF2020]ZJCTF不过如此
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
2020网鼎杯青龙组Boom
05-12
【标题】"2020网鼎杯青龙组Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙组"可能是比赛中的一个分组或者阶段,可能...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
学习笔记 43】 buu [BJDCTF 2nd]简单注入
weixin_43553654的博客
08-02 1085
0x00 知识点 \转义单引号 整型注入 二分法脚本 0x01 解题思路 打开网站一看, 再尝试在用户名和密码处尝试进行注入,发现‘,“都会报错,之后用御剑一扫,发现hint.txt文件。访问一下看看 提示说之后正确的用户和密码才能登上去,得到flag。之后给出了传参方式和mysql命令语句。 这时候很明显username处注入\来转义单引号,password处使用sql语句整数型注入。 举个例子: a. 传入admin\ 和 or/**/length(database())>0#会回显st
学习笔记 48】 buu [网鼎杯 2020 朱雀组]Nmap
weixin_43553654的博客
08-11 683
0x00 知识点 NMAP中使用-0G命令可以实现代码写入 0x01 解题思路 打开网站一看发现是一个NMAP网站尝试输入输入任意ip 可以看到这里返回了nmap扫描的结果,这里我们就想到了NMAP里的-oG命令实现代码的写入,那我们这里就可以尝试构造payload,来利用‘拼接,写入我们想要的shell文件 ' <?php @eval($_POST["cmd"]);?> -oG shell.php ' 尝试后发现报错,说明这里有过滤不能直接进行,最后利用fuzz发现过滤了php
学习笔记15】buu [BUUCTF 2018]Online Tool
weixin_43553654的博客
05-15 641
打开一看,发现给了一大串代码,接下来进行审计 if(isset($_SERVER['HTTP_X_FORWARDED_FOR'])){ $_SERVER['REMOTE_ADDR']=$_SERVER['HTTP_X_FORWARDED_FOR']; } //首先看到前两行代码X_FORWARDED_FOR和REMOTE_ADDR这里是让服务器用来获取ip用...
buu cipher
10-23
Buu Cipher 的加密过程可以简单地分为两个步骤:混淆和扩散。 首先,混淆步骤使用一个密钥和置换表对明文进行置换。置换表是由密钥生成的,用于打乱明文中字符的顺序。这样,原本明文中相邻的字符将被分散到密文中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值