BUUCTF [BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2024-05-25 12:17:21 发布
最新推荐文章于 2024-05-25 12:17:21 发布
阅读量704 收藏
点赞数
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Chu_Jian_Xiong/article/details/108864631
版权

[BJDCTF2020]ZJCTF,不过如此

考点

PHP伪协议

https://www.cnblogs.com/wjrblogs/p/12285202.html

preg_replace远程代码执行

https://zhuanlan.zhihu.com/p/47353283

实操

打开题目
在这里插入图片描述

乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php
在这里插入图片描述

PD9waHAKJGlkID0gJF9HRVRbJ2lkJ107CiRfU0VTU0lPTlsnaWQnXSA9ICRpZDsKCmZ1bmN0aW9uIGNvbXBsZXgoJHJlLCAkc3RyKSB7CiAgICByZXR1cm4gcHJlZ19yZXBsYWNlKAogICAgICAgICcvKCcgLiAkcmUgLiAn
最低0.47元/天 解锁文章
suppose18
关注
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2508
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 2193
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
[BJDCTF2020]ZJCTF不过如此
05-07 430
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
web buuctf [BJDCTF2020]ZJCTF不过如此
weixin_44214568的博客
03-23 2050
考点:正则匹配; 正则-反向引用; preg_replace /e模式漏洞 1. 一路做buuctf下来, web buuctf [ZJCTF 2019]NiZhuanSiWei1_半杯雨水敬过客的博客-优快云博客 和这题的思路一样,不做赘述,主要是利用php伪协议 1.令text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=(I have a dream的base64加密) file=php://filter/read=convert..
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此
weixin_44622228的博客
04-20 2068
BUUCTF-web类-[BJDCTF2020]ZJCTF不过如此 分析代码,ge传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪...
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 647
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
BUUCTF:[BJDCTF2020]ZJCTF不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞
Zero_Adam的博客
02-13 410
不足: 在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去??? 这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。 识点:/e模式的preg_repl
buuctf刷题
qq_41788704的博客
10-28 2143
buuctf刷题BJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
buuctf-ZJCTF不过如此
m0_62094846的博客
11-21 2724
这是文件包含 ?text=data://text/plain;base64,SSBoYXZlIGEgZHJlYW0=&file=php://filter/read=convert.base64-encode/resource=next.php 前面一段是使用data://伪协议,后面的是读取文件信息 解码得到 这是关于preg_replace的内容 <?php $id = $_GET['id']; $_SESSION['id'] = $id; function...
buuctf-不过如此
bin789456的博客
02-02 2123
WP 这个题利用了preg的命令执行,没怎么遇到过,记录一下。 首先代码审计: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."&
BUUCTF---web---[BJDCTF2020]ZJCTF不过如此
2201_75556700的博客
05-25 724
的函数,用于对字符串进行正则替换操作。具体来说,它会将匹配到的字符串转换为小写。传入一个参数text,里面的内容要包括I have a dream。在文件包含那一行,我们看到了next.php的提示,我们尝试读取文件。定义了一个getFlag函数,将参数cmd中的参数输出。/ei:当作php代码来执行,忽略大小写。5、由此我们可以构造新payload。根据代码:我们构造payload。1、点开连接,页面出现了提示。),然后将其赋值给一个变量。
BUUCTF-ZJCTF不过如此
m0_47571887的博客
11-29 2552
打开题目,代码审计的题,审计一下代码,我们提交text函数,并且打开后的内容要与I have a dream一致,才能执行file函数 看到有一个next.php,自然想到用php伪协议读取他 payload:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 解码审计一下 <?php $id = $_GET['id'..
BUUCTF [web专项39][BJDCTF2020]ZJCTF不过如此
yanglinchiji的博客
11-20 311
这里的 `$pattern` 是一个正则表达式字符串,用于指定搜索的模式, `$replacement` 是替换成的字符串, `$subject` 是要搜索和替换的原始字符串或字符串数组。在 PHP 中,`preg_replace` 是一个强大的正则表达式替换函数。它可以在一个字符串中使用正则表达式搜索和替换指定的文本。`preg_replace` 函数返回一个替换后的字符串或数组。作为正则表达式匹配条件的参数名 且 这个参数值为的"getFlag();( 开始定义一个捕获分组,并匹配其中的子表达式;
BUUCTF- ZJCTF不过如此题目解析
2201_75327657的博客
03-29 426
发现有preg——replace说明有代码执行问题。源码中的\\1实际等于\1本身的\1有其他意思。打开查看源码查看有file说明是伪协议。preg——replace相关链接(得到base64编码解析出来为。那就利用filter查看。
[BJDCTF2020]ZJCTF不过如此(preg_replace /e 模式下的代码漏洞问题)
xlcvv的博客
04-30 722
题目给了源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_ge...
BUUCTF WEB [BJDCTF2020]ZJCTF不过如此
Y1da的博客
04-22 1812
BUUCTF WEB [BJDCTF2020]ZJCTF不过如此 进入环境后得到源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,
BUU-ZJCTF-不过如此
unexpectedthing的博客
10-08 231
文章目录wp其他识点 wp 打开环境,还是代码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></b
[BUUCTF][BJDCTF2020]ZJCTF不过如此
cosmoslin的博客
01-24 786
考点 代码审计 命令执行 解题 打开环境 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&
BUUCTF:[BJDCTF2020]ZJCTF不过如此
末初 · mochu7
04-19 3240
https://buuoj.cn/challenges#[BJDCTF2020]ZJCTF%EF%BC%8C%E4%B8%8D%E8%BF%87%E5%A6%82%E6%AD%A4 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "
buuctf [BJDCTF2020]这是base??
最新发布
01-03
### BUUCTF BJDCTF2020 Base题目解析 #### 题目描述 在BUUCTF平台上的BJDCTF2020比赛中,有一个名为“不过如此”的基础题目。此题目的核心在于理解并利用PHP中的`file_get_contents`函数以及正则表达式的特性。 #### PHP代码分析 进入题目页面后可以看到一段PHP代码: ```php <?php highlight_file(__FILE__); if(isset($_GET['text']) && isset($_GET['file'])) { $content = file_get_contents($_GET['file']); if($content === "I have a dream") { echo $content; if(preg_match('/' . $_GET['text'] . '/e', 'test')) { highlight_string(file_get_contents('flag.php')); } else { echo "GG"; } } } ?> ``` 这段代码的功能如下: - 使用`file_get_contents`读取由`$_GET['file']`指定的文件内容。 - 如果文件内容等于"I have a dream",则输出该字符串[^4]。 - 接着通过正则表达式匹配`$_GET['text']`参数传递的内容,并启用`e`修饰符执行其中可能存在的PHP代码。 - 若匹配成功,则显示`flag.php`文件;否则返回"GG"。 #### 利用点与解法思路 由于存在正则表达式的`e`模式漏洞,在构建正则表达式时可以嵌入任意PHP语句作为替换部分被执行。因此可以通过构造特殊的`text`参数绕过验证逻辑获取敏感信息。 具体操作步骤为找到一个符合条件(即包含“I have a dream”)的小型测试文件路径供程序读取,再精心设计能够触发命令注入攻击的有效载荷提交给服务器端处理即可实现最终目标——读取FLAG。 为了安全起见,在实际环境中应当禁用危险的PCRE选项如这里的'e'标志位以防止潜在风险发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值