[鹤城杯 2021]EasyP的题解

最新推荐文章于 2024-05-17 15:15:42 发布
最新推荐文章于 2024-05-17 15:15:42 发布
阅读量140 收藏
点赞数
文章标签: 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45446164/article/details/131731745
版权 

<?php
include 'utils.php';

if (isset($_POST['guess'])) {
    $guess = (string) $_POST['guess'];
    if ($guess === $secret) {
        $message = 'Congratulations! The flag is: ' . $flag;
    } else {
        $message = 'Wrong. Try Again';
    }
}

if (preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF'])) {
    exit("hacker :)");
}

if (preg_match('/show_source/', $_SERVER['REQUEST_URI'])){
    exit("hacker :)");
}

if (isset($_GET['show_source'])) {
    highlight_file(basename($_SERVER['PHP_SELF']));
    exit();
}else{
    show_source(__FILE__);
}
?>

挺有意思的一道文件包含题

首先先了解每一个函数的作用:

​函数preg_match来判断规则返回0和1

假如https://plustop.top/php/index.php/test/tt?user=xiao
$_SERVER['PHP_SELF']得到:/php/index.php/test/tt
$_SERVER['REQUEST_URL']得到:/php/index.php/test/tt?user=xiao
其次$_SERVER['REQUEST_URL']并不会对参数中的特殊符号进行解密
所以$_SERVER['REQUEST_URL']可以用url编码绕过(也可以加号(+) 左中括号([) 空格( ) 点号(.)绕过'_'

其次我们可以发现

if (preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF'])) {
    exit("hacker :)");
}

这里对utils/php进行了一个过滤,说明flag或许就在utils.php这个文件里面,这个如何绕过呢,这段代码的意思很简单就是不能以utils.php结尾,否则退出,要读取utils.php但是不以utils.php结尾的话,只能用废话来绕过了,其次可以注意到

basename函数会过滤掉非ASCII的参数

这里就可以对他进行一个利用,例如一些中文字符,来将结尾的字符删除,从而实现utils.php的读取
还需要添加一个index.php来当做跳板请求

综上所述可以构造payload

在这里插入图片描述

s1kSec
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[鹤城 2021]EasyP
errorr0
04-17 3084
日常做题
[鹤城 2021]EasyP wp(代码审计)
Leaf_initial的博客
04-11 271
变为_,所以在构造payload的时候我们可以将show_source变为show[source。正则匹配,我们不能直接输入show_source=‘’,但是由于php的特性,会将遇到的第一个。$_SERVER[‘SCRIPT_URI’] //返回当前⻚面的 URI。$_SERVER[‘PHP_SELF’] //返回当前执行脚本的文件名。被狠狠地坑了一把,这题的secret变量是个坑,受不了了。这题正确的的解题方法是:我们需要绕过正则。再介绍一个basename()该变量存在,但是由于。
[鹤城 2021]EasyP WriteUp
weixin_73508964的博客
09-27 1000
从今天开始写wp了,做下学习记录。
2021CTF鹤城挑战赛WEB-wp
qq_36410265的博客
12-27 2238
2021CTF鹤城挑战赛WEB部分wp
NSS [鹤城 2021]EasyP
Jay17的博客
10-29 486
NSS [鹤城 2021]EasyP
鹤城2021 Web
feng的博客
10-09 4487
easy_sql_2 登录功能,post传username和password。尝试admin,admin弱口令登录成功但是提示flag并不在这里。 username尝试-1'||'1'%23发现是password error!,因此猜测后端的应该是根据传入的username查出对应的password,查到了就不再是username error!,然后讲传入的password进行一次md5后与这个password比较,相同就登录成功。 尝试SQL注入,但是ban了select,因此利用table注入。 数据库
NSSCTF中的1zjs、作业管理系统、finalrce、websign、简单包含、Http pro max plus、[鹤城 2021]EasyP
2401_82388450的博客
05-14 1080
1.php代码中要是有exec()函数,应该想到无回显的RCE2.遇到waf中的控制字符串长度,应该如何绕过3.了解到了http请求头中的其他参数,以及他们的作用。
2021鹤城
unexpectedthing的博客
04-17 2478
[鹤城 2021]EasyP 考点 php特性 wp 代码 <?php include 'utils.php'; if (isset($_POST['guess'])) { $guess = (string) $_POST['guess']; if ($guess === $secret) { $message = 'Congratulations! The flag is: ' . $flag; } else { $message = 'W
[GXYCTF 2019]Ping Ping Ping(内联执行)、[鹤城 2021]EasyP ($_SERVER)
2401_82985722的博客
05-10 577
于是就可以使用cat$IFS$9`ls` 这个命令来输出ls里面的flag.php以及index.php中的内容。$_SERVER['REQUEST_URI'] 得到:/php/flag.php/flag?1.$_SERVER['PHP_SELF']:获取当前执行脚本的文件名(相对于网站根目录的路径及 PHP 程序名称。$_SERVER['PHP_SELF'] 得到:/php/flag.php/flag。$_SERVER['SCRIPT_NAME'] 得到:/php/flag.php
easypicv example_PICmicrocontroller_easyP_
09-30
easypicv7 example en mikroC
go-easyp2p:Go的易于使用的P2P库
02-02
go-easyp2p 描述 易于使用的P2P库 纯净去 使用TLS保护 例子 在示例/ 安装 去获取github.com/cs3238-tsuzu/go-easyp2p 执照 根据MIT许可 版权所有(c)2018 Tsuzu 去做 支持TURN 详情 使用STUN,QUIC( )
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8230
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
如何同步管理1000个设备的VLAN数据?
weixin_68261415的博客
05-15 733
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集中管理,降低配置和维护的工作量。
php centos选择sqlserver的驱动和扩展选择版本的说明
Z.X的博客
05-14 443
2023年2月23日13:41:48首先是php php扩展 驱动 数据库的关系 官方文档说明: https://learn.microsoft.com/zh-cn/sql/connect/php/step-1-configure-development-environment-for-php-development?view=sql-server-2017https://learn.microsoft.com/zh-cn/sql/connect/php/system-requirements-for-th
FebHost:为什么企业需要注册保加利亚.BG域名?
05-16 375
品牌本土化战略的实施同样离不开.BG域名的助力。拥有.BG域名的企业可以显著提高其在来自保加利亚的搜索请求中的可见度和排名,吸引更多的目标访问者,提升用户参与度。在当今全球化的商业环境中,对于与保加利亚市场息息相关的企业而言,选择合适的域名至关重要。面对日益饱和的通用顶级域名市场,.BG提供了一个具有区域特色的替代选择,帮助企业在保加利亚市场中树立一个鲜明且难忘的网络形象。综上所述,对于志在保加利亚市场塑造坚实网络地位的企业、组织或个人而言,.BG域名是一个明智且具有战略意义的选择,值得业界关注和利用。
等保测评实体分享three
ddcajdkdl的博客
05-16 925
它除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击的目标。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
春秋云境CVE-2022-25487
2303_76653367的博客
05-15 310
Atom CMS 2.0版本存在远程代码执行漏洞,该漏洞源于/admin/uploads.php 未能正确过滤构造代码段的特殊元素。攻击者可利用该漏洞导致任意代码执行。
Laravel中使用MinIO进行文件操作及ZIP解压
我码玄黄的博客
05-14 351
在本指南中,我们将详细介绍如何在laravel框架中操作minio,包含方法有:桶列表,创建桶,修改桶,上传文件,删除文件,生成直传链接,解压zip的php脚本
春秋云境CVE-2023-50564
最新发布
2303_76653367的博客
05-17 439
Pluck-CMS v4.7.18 中的 /inc/modules_install.php 组件,攻击者可以通过上传一个精心制作的 ZIP 文件来执行任意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值