[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2025-01-05 09:54:57 发布
原创 最新推荐文章于 2025-01-05 09:54:57 发布 · 326 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文介绍了BJDCTF2020中ZJCTF挑战的解决过程,通过利用PHP伪协议data://和php://filter/convert.base64-encode读取next.php文件,并使用preg_replacee技巧完成flag的获取。

**

[BJDCTF2020]ZJCTF,不过如此

**
在这里插入图片描述
给出了源码

file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议

源码中提示我们去包含next.php文件,所以我们利用php://filter协议去读下next.php的源码。

index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
在这里插入图片描述解密的结果是next.php的源码

在这里插入图片描述
这里涉及 preg_replace\e 知识点
https://xz.aliyun.com/t/2557

引用:在这里插入图片描述

在这里插入图片描述-------------------------------------------------------------------------
如果直接传.*由于php字符解析 .会被替代成下划线
所以我们换个元字符\S
\S表示匹配非空格以外的所有字符
在这里插入图片描述方法可行,直接 cat /flag 就好

在这里插入图片描述

buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2673
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解)
小宇的web博客
02-12 1743
buuctf-[BJDCTF2020]ZJCTF不过如此(小宇特详解) 打开题目: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')
[BJDCTF 2020]ZJCTF不过如此
m0_70819573的博客
03-25 260
e模式下的preg_replace可以让第二个参数'替换字符串'当作代码执行,但是这里第二个参数是不可变的,但因为有这种特殊的情况,正则表达式模式或部分模式两边添加圆括号会将相关匹配存储到一个临时缓存区,并且从1开始排序,而strtolower("\1")正好表达的就是匹配区的第一个,从而我们如果匹配可以,则可以将函数实现。运用data伪协议写入数据,filter伪协议读取next.php源码内容。可值一提的是,在本地环境复现时,因为高版本的php已经废弃了改正则模式。是正则模式/ei的漏洞,
BUUCTF---web---[BJDCTF2020]ZJCTF不过如此
2201_75556700的博客
05-25 899
的函数,用于对字符串进行正则替换操作。具体来说,它会将匹配到的字符串转换为小写。传入一个参数text,里面的内容要包括I have a dream。在文件包含那一行,我们看到了next.php的提示,我们尝试读取文件。定义了一个getFlag函数,将参数cmd中的参数输出。/ei:当作php代码来执行,忽略大小写。5、由此我们可以构造新payload。根据代码:我们构造payload。1、点开连接,页面出现了提示。),然后将其赋值给一个变量。
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1978
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
BJDCTF2020 ZJCTF不过如此 1
最新发布
hddi1的博客
01-05 1030
php伪协议 #利用伪协议 #filegetcomtent用phpinput绕过 #PHP对于函数调用的语法问题。
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
php代码审计之变量覆盖漏洞 变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局变量注册等。 全局变量覆盖 extarct()变量覆盖 遍历初始化变量 import_request_variables变量覆盖 parse_str()变量覆盖 变量覆盖的种类 全局变量覆盖(PHP5.3.0废弃、PHP5.4.0移除) 当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单、cookie等 "; if(ini_get("Register_globals"))foreach ($_REQUEST as $k => $v) unset(${$k}); print $a; print $_GET[b]; ?> extract()变量覆盖 PHP extract()函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量值
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 3026
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
[BJDCTF2020]ZJCTF不过如此(特详解)
热门推荐
qq_74806534的博客
01-24 2万+
而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定,这是一个可选项,base64 编码中仅包含 0-9,a-z,A-Z,+,/,=,其中 = 是用来编码补白的。我们先看第二个参数中的\1 ,\1实际上就是 \1,而 \1 在正则表达式中有自己的含义,最后一部分为这个 Data URI 承载的内容,它可以是纯文本编写的内容,也可以是经过 base64编码 的内容。单引号中的变量不会被处理。这里我们发现了.变成了_,这是因为php会将传入的非法的参数名转成下滑线,所以我们的正则匹配才会失效。
preg_replace 代码执行漏洞之[BJDCTF2020]ZJCTF不过如此
qq_58970968的博客
07-14 354
file使用filephp//filter/read=convert.base64-encode/resource=文件名来构造;text使用data//text/plain,可以利用这个漏洞构造出命令执行漏洞;preg_replace/e模式下的。构造在next.php后。看到有flag列表,再打开;
[BJDCTF2020]ZJCTF不过如此 preg_replace /e模式漏洞
m0_64180167的博客
09-11 517
直接看看代码首先 text file获取参数判断 text为空 和 读取 text的文件内容 并且要为 I have a dream这里可以使用data伪协议绕过 让 text识别到 I have a dream本地测试一下就知道了通过 data获取 I have a dream 得到该数据 这样 就可以绕过判断然后文件包含 提示我们 next.phpinclude很显然就是使用伪协议 我们直接php://来读取解密我们看看其中关键的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yolo-0.0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值