[BJDCTF2020]ZJCTF，不过如此（preg_replace /e 模式下的代码漏洞问题）

最新推荐文章于 2024-08-17 00:44:04 发布

k0f1i

最新推荐文章于 2024-08-17 00:44:04 发布

阅读量668

点赞数

分类专栏： buuctf_web

本文链接：https://blog.csdn.net/weixin_44348894/article/details/105870899

版权

本文详细介绍了BJDCTF2020比赛中遇到的一道关于PHP preg_replace /e模式下代码注入的问题。通过利用data://和php://伪协议绕过限制，结合对字符`echo`的理解，构造了有效Payload，成功获取flag。文章适合对网络安全和PHP编程有一定了解的读者阅读。

摘要由CSDN通过智能技术生成

题目给了源码：

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
   
    echo "<br><h1>".file_get_contents($text,'r'<

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

k0f1i

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

[BJDCTF2020]ZJCTF，不过如此(php双引号、伪协议、preg_replace）

qq_43622442的博客

05-09

1982

[BJDCTF2020]ZJCTF，不过如此(php双引号、伪协议、preg_replace） 1.打开网站，审计，第一个if可以用php://input 或者 data://伪协议绕过，php伪协议分析可看php伪协议： 2.然后往下，提示next.php文件，这里可以用php://filter伪协议拿到它的源码： 3.payload： http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f

[BJDCTF2020]ZJCTF，不过如此

秀

05-07

384

<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.

参与评论您还未登录，请先登录后发表或查看评论

[BJDCTF 2020]ZJCTF，不过如此解题思路（preg_replace \e 模式中的漏洞）

最新发布

2301_80307383的博客

08-17

679

2.在php中，双引号里面如果包含有变量，php解释器会将其替换为变量解释后的结果；3.初始payload:.*={${phpinfo()}} ，即 GET 方式传入的参数名为 .* ，值为 {${phpinfo()}}\S*=${getFlag()}&cmd=eval($_POST[1]);所以要换为\S*=${phpinfo()}

BUUCTF：[BJDCTF2020]ZJCTF，不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞

Zero_Adam的博客

02-13

364

不足：在文件包含那里卡住了，想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么，，，等一会看看能不能用data协议来读去？？？这个可以的：index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 看到正则+str_replace，+ e 修正符，想到的是RCE！？！！。知识点：/e模式的preg_repl

[BJDCTF2020]ZJCTF，不过如此(php伪协议,data伪协议,preg_replace /e漏洞)

weixin_44110537的博客

10-04

515

伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.

buuctf-[BJDCTF2020]ZJCTF，不过如此

qq_42728977的博客

12-26

2369

[BJDCTF2020]ZJCTF，不过如此考点复现参考考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过复现点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g

[BJDCTF2020]ZJCTF，不过如此 简单思路及做法

EC_Carrot的博客

12-07

893

前言文章所涉及的资料来自互联网整理和个人总结，意在于个人学习和经验汇总，如有什么地方侵权，请联系本人删除，谢谢！本文仅用于学习与交流，不得用于非法用途！题目稍微审计，发现需要读到文件内容为I have a dream，自然而然的就可以想到用伪协议来做题！注释里提醒了next.php，我们同样用伪协议base64加密来读文件 data://text/plain, php://input 读到的内容解码出来 <?php $id = $_GET['id']; $_SESSION['id'] =

BUUCTF [BJDCTF2020]ZJCTF，不过如此(正则e模式漏洞）

qq_54929891的博客

03-06

2743

进去就是一串PHP代码，代码功能是：用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开，并且将文件内容读入到一个字符串中)，如果读入的内容是I have a dream，则会输出该字符串内容并且正则表达式来匹配file参数传入的值，若匹配失败则直接GG 这个时候我们要用到伪协议data了，它可以传递文件内容也可以执行函数(函数一般要base64)，这里我们传递文件内容就行了text=data://text/plain...

BUUCTF-web类-[BJDCTF2020]ZJCTF，不过如此

weixin_44622228的博客

04-20

1999

BUUCTF-web类-[BJDCTF2020]ZJCTF，不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开，打开后内容要与"I have a dream"字符串相匹配，才能执行下面的文件包含$file参数。看到用的是file_get_contents()函数打开text参数，以及后面的文件包含函数，自然的想到php伪...

[bjdctf2020]zjctf，不过如此

m0_62593857的博客

08-16

235

preg_replace函数中，用strtolower("\\1")替换正则表达式匹配到的字符串，正则表达式跟$re有关，而$re又是通过GET方法传的参数名称，所以可控，要匹配的$str则是参数值，所以也可控，“\\1”其实就是\1，意思是第一个子匹配项，使用/e修饰符，preg_replace会将 replacement 参数当作 PHP 代码执行。

[BJDCTF2020]ZJCTF，不过如此（preg_replace /e）

weixin_45577185的博客

08-05

200

知识点： 1.php伪协议小结（文件包含） 2.深入研究preg_replace与代码执行 3.php可变变量看到//next.php；想个办法看下next.php payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&file=php://filter/convert.base64-encode/resource=next.php I have a dream base6

[BJDCTF2020]ZJCTF，不过如此 -wp

freerats的博客

08-02

497

打开容器，进行代码审计传入text和file参数，第一个可以用data伪协议绕过，然后接下来是一个文件包含，可以用php协议读取数据。无法直接打开提示的next.php，所以用php协议读一下。 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php 读出的源码如下 <?php $id = $_GET['id']; $_SESS.

审计练习12——[BJDCTF2020]ZJCTF，不过如此

qq_43756333的博客

06-04

600

平台：buuoj.cn 打开靶机得源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&gt

IPB search.php preg_replace/e漏洞深度剖析与防御策略

漏洞利用的关键在于理解preg_replace函数的/e模式如何使外部代码得以执行，并结合论坛的搜索功能来构造有效攻击路径。攻击者通过这种方式，可以获取对服务器的控制权限，执行任意命令，严重威胁到系统的安全性。 ...