[BJDCTF2020]ZJCTF，不过如此(php双引号、伪协议、preg_replace）

最新推荐文章于 2024-01-24 21:31:22 发布

H9_dawn

最新推荐文章于 2024-01-24 21:31:22 发布

阅读量2.2k

点赞数 16

CC 4.0 BY-SA版权

文章标签： web 安全 ctf

本文链接：https://blog.youkuaiyun.com/qq_43622442/article/details/106018883

[BJDCTF2020]ZJCTF，不过如此(php双引号、伪协议、preg_replace）

1.打开网站，审计，第一个if可以用php://input 或者 data://伪协议绕过，php伪协议分析可看php伪协议：
在这里插入图片描述

2.然后往下，提示next.php文件，这里可以用php://filter伪协议拿到它的源码：
在这里插入图片描述
3.payload：

http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&file=php://filter/convert.base64-

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

H9_dawn

关注关注

16
点赞
踩
13

收藏

觉得还不错? 一键收藏
4
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[BJDCTF2020]ZJCTF，不过如此1

qq_48008847的博客

07-16

1850

通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开，打开后内容要与"I have a dream"字符串相匹配，才能执行下面的文件包含$file参数。看到用的是file_get_contents()函数打开text参数，以及后面的文件包含函数，自然的想到php伪协议中的data://协议用filter协议去读下next.php的源码获取next.php的payload: index.php?text=data://text..

[BJDCTF2020]ZJCTF，不过如此 -wp

freerats的博客

08-02

543

打开容器，进行代码审计传入text和file参数，第一个可以用data伪协议绕过，然后接下来是一个文件包含，可以用php协议读取数据。无法直接打开提示的next.php，所以用php协议读一下。 ?text=data://text/plain,I%20have%20a%20dream&file=php://filter/read=convert.base64-encode/resource=next.php 读出的源码如下 <?php $id = $_GET['id']; $_SESS.

4 条评论您还未登录，请先登录后发表或查看评论

[BJDCTF2020]ZJCTF，不过如此（特详解）

最新发布

qq_74806534的博客

01-24

1万+

而这段代码里面的第一个子匹配项就是${phpinfo()}。编码设定，这是一个可选项，base64 编码中仅包含 0-9,a-z,A-Z,+,/,=，其中 = 是用来编码补白的。我们先看第二个参数中的\1 ，\1实际上就是 \1，而 \1 在正则表达式中有自己的含义，最后一部分为这个 Data URI 承载的内容，它可以是纯文本编写的内容，也可以是经过 base64编码的内容。单引号中的变量不会被处理。这里我们发现了.变成了_，这是因为php会将传入的非法的参数名转成下滑线，所以我们的正则匹配才会失效。

[BJDCTF2020]ZJCTF，不过如此

秀

05-07

437

<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.

PHP弱类型及一些绕过姿势

Lemon's blog

04-30

5965

前言：做web题时经常会遇到各种php弱类型或者是php的一些漏洞函数，由于知识比较零碎，就总结一下我所遇到的，也方便自己以后观看。 0x01:Hash比较缺陷产生原因： PHP在处理哈希字符串时，通过!=或==来对哈希值进行比较，它把每一个以0e开头的哈希值都解释为0，所以如果两个不同的密码经过哈希以后，其哈希值都是以0e开头的，那么PHP将会认为他们相同，都是0 具体实例：审计代码，我...

2019PHP面试题最全面归纳总结

leastedu的博客

11-14

1449

1、请选择以下代码运行的结果： <?php if ('1e3' == '1000') echo 'LOL'; ?> A 无任何输出结果　　　　B LOL 　　　　　　C 不执行且报错解析：1e3 是科学计数法实数的指数形式为1乘以10的三次方，故‘1e3’=='1000’是成立的，输出echo ‘LOL’； 2、请选出以下代码运行的结果： <?php $a = ...

近期1年来PHP面试题整理

wang_ze的博客

05-31

5974

面试：冲击月薪18k(税后),你应该具备哪些技能?1.熟悉设计模式,单例,工厂,策略,观察者能根据实际场景写出代码2.熟悉框架tp,yii,larval,symfony,Phalcon7;至少读过其中之一的源码3.熟悉memcache,redis的使用,特别是redis,熟悉redis的主从配置;熟悉mongodb4.熟练掌握mysql,视图,触发器,sql语句优化,表设计,sql注入,锁,事物...

[bjdctf2020]zjctf，不过如此

m0_62593857的博客

08-16

282

preg_replace函数中，用strtolower("\\1")替换正则表达式匹配到的字符串，正则表达式跟$re有关，而$re又是通过GET方法传的参数名称，所以可控，要匹配的$str则是参数值，所以也可控，“\\1”其实就是\1，意思是第一个子匹配项，使用/e修饰符，preg_replace会将 replacement 参数当作 PHP 代码执行。

BUUCTF [BJDCTF2020]ZJCTF，不过如此(正则e模式漏洞）

qq_54929891的博客

03-06

2917

进去就是一串PHP代码，代码功能是：用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开，并且将文件内容读入到一个字符串中)，如果读入的内容是I have a dream，则会输出该字符串内容并且正则表达式来匹配file参数传入的值，若匹配失败则直接GG 这个时候我们要用到伪协议data了，它可以传递文件内容也可以执行函数(函数一般要base64)，这里我们传递文件内容就行了text=data://text/plain...

[BJDCTF2020]ZJCTF，不过如此 1

qq_43618536的博客

07-04

790

BUUCTF的[BJDCTF2020]ZJCTF，不过如此 1

[BUUCTF][BJDCTF2020]ZJCTF，不过如此1(做题记录

qq_48597181的博客

04-05

1778

作为正则表达式匹配条件的参数名且这个参数值为的"getFlag();参数名:cmd和需要php执行的代码所以构造id=1&\S*={${getFlag()}}&cmd=system('linux命令');PS：\S是什么意思？正则表达式\S匹配非空字符PS: 为什么用{${getFlag()}} 这个写法？会调用phpinfo()函数并试图将结果嵌入到字符串中。而如果使用phpinfo()函数，它不会自动嵌入到字符串中。(我在这试了好久TAT。