【鹤城杯 2021】EasyP

原创 于 2025-03-30 20:35:22 发布 · 1k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #NSSCTF #鹤城杯

题目

<?php
include 'utils.php';

if (isset($_POST['guess'])) {
    $guess = (string) $_POST['guess'];
    if ($guess === $secret) {
        $message = 'Congratulations! The flag is: ' . $flag;
    } else {
        $message = 'Wrong. Try Again';
    }
}

if (preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF'])) {
    exit("hacker :)");
}

if (preg_match('/show_source/', $_SERVER['REQUEST_URI'])){
    exit("hacker :)");
}

if (isset($_GET['show_source'])) {
    highlight_file(basename($_SERVER['PHP_SELF']));
    exit();
}else{
    show_source(__FILE__);
}
?>

思路

背景知识

  1. $_SERVER['PHP_SELF']$_SERVER['REQUEST_URI']

  • $_SERVER['PHP_SELF']:返回当前脚本的路径部分(不包括查询字符串)。例如,对于 URL https://www.shawroot.cc/php/index.php/test/foo?username=root,它的值是 /php/index.php/test/foo

  • $_SERVER['REQUEST_URI']:返回完整的请求 URI(包括路径和查询字符串)。例如,对于上述 URL,它的值是 /php/index.php/test/foo?username=root

  1. basename() 函数

  • basename() 函数用于提取路径中的文件名部分。例如:

    php
深色版本
basename('/path/to/file/utils.php'); // 输出 'utils.php'

  • 在某些语言环境设置下,basename() 会删除文件名开头的非 ASCII 字符(如 %ff 或中文字符),这可以用来绕过正则表达式过滤。

  1. 正则表达式过滤

  • 第一个正则表达式:preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF']) 它的作用是检测 $_SERVER['PHP_SELF'] 是否以 utils.php/utils.php 结尾。如果匹配成功,则退出程序。

  • 第二个正则表达式:preg_match('/show_source/', $_SERVER['REQUEST_URI']) 它的作用是检测 $_SERVER['REQUEST_URI'] 是否包含字符串 show_source。如果匹配成功,则退出程序。

  1. URL 编码

  • URL 编码是一种将特殊字符转换为百分号格式(如 %ff)的方式。在某些情况下,未解码的参数可以通过正则表达式过滤。

漏洞分析

1. 绕过第一个正则表达式

  • 正则表达式:preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF'])

  • 漏洞点:basename() 函数的行为

  • 解析:

  • 当我们构造 URL 为 /index.php/utils.php/%ff 时:

    • $_SERVER['PHP_SELF'] 的值为 /index.php/utils.php/%ff

    • basename($_SERVER['PHP_SELF']) 的结果会因为 %ff 被删除而变为 utils.php

    • 因此,尽管原始路径包含 utils.php,但由于 %ff 的存在,正则表达式无法匹配到 utils.php,从而绕过了过滤。

2. 绕过第二个正则表达式

  • 正则表达式:preg_match('/show_source/', $_SERVER['REQUEST_URI'])

  • 漏洞点:URL 编码未被解码。

  • 解析:

  • 当我们构造 URL 参数为 ?%73how_source=1?%73%68%6f%77%5f%73%6f%75%72%63%65=1 时:

    • %73s 的 URL 编码,%68h 的 URL 编码,以此类推。

    • $_SERVER['REQUEST_URI'] 获取到的是未解码的参数值,因此正则表达式无法匹配到字符串 show_source

EXP

  • 构造 URL 为:

/index.php/utils.php/%ff?%73how_source=1

或者:

/index.php/utils.php/%ff?%73%68%6f%77%5f%73%6f%75%72%63%65=1

XiaoHei_Q
关注
鹤城2021 Crypto Writes up
weixin_56678592的博客
10-08 3856
鹤城2021 Crypto Writes up 这比赛原题横行有点水,跟着大佬们拿了个34名。 #1 easy_crypto 附件: 公正公正公正诚信文明公正民主公正法治法治诚信民主自由敬业公正友善公正平等平等法治民主平等平等和谐敬业自由诚信平等和谐平等公正法治法治平等平等爱国和谐公正平等敬业公正敬业自由敬业平等自由法治和谐平等文明自由诚信自由平等富强公正敬业平等民主公正诚信和谐公正文明公正爱国自由诚信自由平等文明公正诚信富强自由法治法治平等平等自由平等富强法治诚信和谐 社会主义核心价值观加密,在线解
CTF web新手解题 PHP 代码审计 正则绕过 文件包含 [鹤城 2021]Middle magic [鹤城 2021]EasyP
2302_80480639的博客
11-12 674
长路漫漫,唯web作伴。
[鹤城 2021]EasyP
errorr0
04-17 4497
日常做题
[鹤城 2021]EasyP WriteUp
weixin_73508964的博客
09-27 1330
从今天开始写wp了,做下学习记录。
[鹤城 2021]EasyP的题解
weixin_45446164的博客
07-14 421
​挺有意思的一道文件包含题。
[鹤城 2021]EasyP wp(代码审计)
Leaf_initial的博客
04-11 458
变为_,所以在构造payload的时候我们可以将show_source变为show[source。正则匹配,我们不能直接输入show_source=‘’,但是由于php的特性,会将遇到的第一个。$_SERVER[‘SCRIPT_URI’] //返回当前⻚面的 URI。$_SERVER[‘PHP_SELF’] //返回当前执行脚本的文件名。被狠狠地坑了一把,这题的secret变量是个坑,受不了了。这题正确的的解题方法是:我们需要绕过正则。再介绍一个basename()该变量存在,但是由于。
NSSCTF-鹤城2021-wp
F1rstb100d
09-22 935
NSSCTF-鹤城2021-wp
NSS [鹤城 2021]EasyP
Jay17的博客
10-29 706
NSS [鹤城 2021]EasyP
鹤城2021 Web
feng的博客
10-09 4707
easy_sql_2 登录功能,post传username和password。尝试admin,admin弱口令登录成功但是提示flag并不在这里。 username尝试-1'||'1'%23发现是password error!,因此猜测后端的应该是根据传入的username查出对应的password,查到了就不再是username error!,然后讲传入的password进行一次md5后与这个password比较,相同就登录成功。 尝试SQL注入,但是ban了select,因此利用table注入。 数据库
2021CTF鹤城挑战赛WEB-wp
qq_36410265的博客
12-27 2474
2021CTF鹤城挑战赛WEB部分wp
精选资源
go-easyp2p:Go的易于使用的P2P库
02-02
go-easyp2p 描述 易于使用的P2P库 纯净去 使用TLS保护 例子 在示例/ 安装 去获取github.com/cs3238-tsuzu/go-easyp2p 执照 根据MIT许可 版权所有(c)2018 Tsuzu 去做 支持TURN 详情 使用STUN,QUIC( )
NSSCTF-[鹏城 2022]简单的php
11-05
- 引用[2]: 另一个CTF题解,提到了鹤城2021EasyP题目,是关于PHP文件包含、传参特性和陌生函数。内容包括一些PHP代码,有POST请求、秘密比较、正则检查等。 - 引用[3]: 关于NSSCTF做题的博客,强调了解析细节和...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8834
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
jmeter DSL 2.0支持压力测试和接口测试
12-04
jmeter DSL 2.0支持压力测试和接口测试
【Egg.js 管理系统】后台全功能 + MySQL 适配 + 直接部署 + 高下载!亲测可用!.zip
12-04
【Egg.js 管理系统】后台全功能 + MySQL 适配 + 直接部署 + 高下载!亲测可用!.zip
【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)
12-04
内容概要:本文提出了一种基于融合鱼鹰算法和柯西变异的改进麻雀优化算法(OCSSA),用于优化变分模态分解(VMD)的参数,进而结合卷积神经网络(CNN)与双向长短期记忆网络(BiLSTM)构建OCSSA-VMD-CNN-BILSTM模型,实现对轴承故障的高【轴承故障诊断】基于融合鱼鹰和柯西变异的麻雀优化算法OCSSA-VMD-CNN-BILSTM轴承诊断研究【西储大学数据】(Matlab代码实现)精度诊断。研究采用西储大学公开的轴承故障数据集进行实验验证,通过优化VMD的模态数和惩罚因子,有效提升了信号分解的准确性与稳定性,随后利用CNN提取故障特征,BiLSTM捕捉时间序列的深层依赖关系,最终实现故障类型的智能识别。该方法在提升故障诊断精度与鲁棒性方面表现出优越性能。; 适合人群:具备一定信号处理、机器学习基础,从事机械故障诊断、智能运维、工业大数据分析等相关领域的研究生、科研人员及工程技术人员。; 使用场景及目标:①解决传统VMD参数依赖人工经验选取的问题,实现参数自适应优化;②提升复杂工况下滚动轴承早期故障的识别准确率;③为智能制造与预测性维护提供可靠的技术支持。; 阅读建议:建议读者结合Matlab代码实现过程,深入理解OCSSA优化机制、VMD信号分解流程以及CNN-BiLSTM网络架构的设计逻辑,重点关注参数优化与故障分类的联动关系,并可通过更换数据集进一步验证模型泛化能力。
这是一个基于Vuejs框架构建的现代化前端尺寸测量与响应式设计辅助工具项目_它专注于提供精准的网页元素尺寸测量视口分析CSS像素计算设备模拟与响应式断点调试功能_旨在帮助前.zip
12-04
这是一个基于Vuejs框架构建的现代化前端尺寸测量与响应式设计辅助工具项目_它专注于提供精准的网页元素尺寸测量视口分析CSS像素计算设备模拟与响应式断点调试功能_旨在帮助前.zip
基于VSCode跨平台开发环境的Boost多线程库实践项目_通过mutex互斥锁与condition条件变量实现多线程同步控制_创建两个独立运行的读线程与两个并行执行的写线程_确.zip
12-04
基于VSCode跨平台开发环境的Boost多线程库实践项目_通过mutex互斥锁与condition条件变量实现多线程同步控制_创建两个独立运行的读线程与两个并行执行的写线程_确.zip
毕业设计基于深度学习的旅游推荐系统设计与实现源码+PPT材料+演示视频.zip
最新发布
12-04
毕业设计基于深度学习的旅游推荐系统设计与实现源码+PPT材料+演示视频.zip
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值