[Zer0pts2020]Can you guess it?

最新推荐文章于 2025-04-09 22:31:48 发布
原创 最新推荐文章于 2025-04-09 22:31:48 发布 · 598 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在Zer0pts2020挑战中如何利用basename函数和正则匹配进行绕过,详细解析了源码中的正则验证逻辑,并展示了如何通过在URL末尾添加%ff来构造payload,成功绕过限制并获取config.php的源码。

知识点:

bypass绕过

具体绕过:

basename(),$_SERVER['PHP_SELF']和正则匹配

解题过程:

打开source发现源码

源码:

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message =&nbs

最低0.47元/天 解锁文章
BUUCTF-[Zer0pts2020]Can you guess it?
TMS18的博客
09-27 248
摘要:这段PHP代码审计显示了一个安全挑战:通过构造特殊URL绕过basename()函数限制来读取config.php文件。关键漏洞在于basename()处理非法字符%ff时会产生目录跳转,允许攻击者通过/index.php/config.php/%ff?source=1这样的URL绕过preg_match检查,最终显示包含FLAG的配置文件内容。该漏洞利用了对URL路径解析和basename()函数处理的非常规方式,展示了Web应用中路径处理可能存在的安全隐患。
buuctf-[Zer0pts2020]Can you guess it?
2202_75317918的博客
10-01 531
而且这个正则匹配只匹配路径的尾巴,因此index.php/config.php/abc.php就能绕过正则,因此思路就很明确了结合上面的basename介绍,就是在末尾加上。当前绝对路径不能有config.php,因为这里是index.php的源码,正常访问config.php没有问题,但是不能访问index.php/config.php。比如现在这个文件是在var/www/html/index.php,那么$_SERVER['PHP_SELF']代表的就是index.php。通过构造URI让其包含。
BUUCTF(11.14-11.22)
XINO
11-22 2083
记:上周抽空刷的BUU题目,记录一下解题过程的同时与大家分享交流 [Zer0pts2020]Can you guess it? 一个查询页面,提交东西提示wrong 有个源码链接,我们点开看一下 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you ar
[zer0pts 2020]easy strcmp
最新发布
YYueHua5的博客
04-09 212
只知道加密后为zer0pts{********CENSORED********},而a2是什么并无法确定。在sub_6EA中,key也在里面,(用python写EXP会麻烦,可以试试用c写)看到了a1,a2和加密方式,现在主要看最后的那个函数是什么了。第一步,查出来是个elf文件,改完后缀,丢入IDA中。在sub_795中发现了,它是strcmp。接下来基本借鉴大佬的WP了。函数不多就要看看内容了。
[Zer0pts2020]easy strcmp
2302_79135465的博客
05-06 417
main函数里什么都没有,想起来之前一个题elf会先运行init函数。给的数据以小端序存储,不过shift+e时候不需要考虑。python好像不好处理溢出的问题,再看看。会是上一字节溢出的给了下一位。
[Zer0pts2020]Can you guess it?1
kw741951的博客
08-17 693
打开题目看到信息随便输入一个数,显示错误查看源代码看到php代码,代码审计phpexit();} else {?= $message?>php }?
【BUUCTF】[Zer0pts2020]Can you guess it?
aoao331198的博客
06-08 568
源码 想要读取文件只能从这段入手(不知道另外一处有没有办法),正则表达式是表示不能以config.php为结尾 这里学习一个新知识接下来是 basename 它有个小问题,它会去掉文件名开头的非ASCII值。PL...
[Zer0pts2020]Can you guess it?1--清风
weixin_71913298的博客
07-08 1354
1.$_SERVER['PHP_SELF']不是一个函数,而是一个超全局变量(superglobal variable),它在 PHP 中用于获取当前正在执行脚本的文件名。 2.basename()函数会返回路径中的文件名部分 3.basename()函数漏洞绕过使用不可回显字符,(后面加%80-%ff的任意字符) 4.preg_match()函数正则匹配时细小知识点,点(.)斜杠(/)反斜杠(\) 量词(*)等是否有印象
[Zer0pts2020]Can you guess it? 1
dian的博客
09-29 984
_SERVER['PHP_SELF']会获取我们当前的访问路径,并且PHP在根据URI解析到对应文件后会忽略掉URL中多余的部分,即若访问存在的index.php页面,如下两种UR均会访问到。接下来构造URI让其包含config.php这个文件名再让basename函数截取出来,之后通过请求参数source就能显示config.php的源码,也就能得到flag了。但是hash_equal函数没有漏洞也没有错误,没办法从这里入手。截取$_SERVER['PHP_SELF'],本题的利用点也就在此处。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值