【鹤城杯 2021】EasyP

于 2025-03-30 20:35:22 发布
阅读量974 收藏 13
点赞数 26
CC 4.0 BY-SA版权
文章标签: 网络安全 NSSCTF 鹤城杯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LDdfq/article/details/146774163

题目

<?php
include 'utils.php';

if (isset($_POST['guess'])) {
    $guess = (string) $_POST['guess'];
    if ($guess === $secret) {
        $message = 'Congratulations! The flag is: ' . $flag;
    } else {
        $message = 'Wrong. Try Again';
    }
}

if (preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF'])) {
    exit("hacker :)");
}

if (preg_match('/show_source/', $_SERVER['REQUEST_URI'])){
    exit("hacker :)");
}

if (isset($_GET['show_source'])) {
    highlight_file(basename($_SERVER['PHP_SELF']));
    exit();
}else{
    show_source(__FILE__);
}
?>

思路

背景知识

  1. $_SERVER['PHP_SELF']$_SERVER['REQUEST_URI']

  • $_SERVER['PHP_SELF']:返回当前脚本的路径部分(不包括查询字符串)。例如,对于 URL https://www.shawroot.cc/php/index.php/test/foo?username=root,它的值是 /php/index.php/test/foo

  • $_SERVER['REQUEST_URI']:返回完整的请求 URI(包括路径和查询字符串)。例如,对于上述 URL,它的值是 /php/index.php/test/foo?username=root

  1. basename() 函数

  • basename() 函数用于提取路径中的文件名部分。例如:

    php
深色版本
basename('/path/to/file/utils.php'); // 输出 'utils.php'

  • 在某些语言环境设置下,basename() 会删除文件名开头的非 ASCII 字符(如 %ff 或中文字符),这可以用来绕过正则表达式过滤。

  1. 正则表达式过滤

  • 第一个正则表达式:preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF']) 它的作用是检测 $_SERVER['PHP_SELF'] 是否以 utils.php/utils.php 结尾。如果匹配成功,则退出程序。

  • 第二个正则表达式:preg_match('/show_source/', $_SERVER['REQUEST_URI']) 它的作用是检测 $_SERVER['REQUEST_URI'] 是否包含字符串 show_source。如果匹配成功,则退出程序。

  1. URL 编码

  • URL 编码是一种将特殊字符转换为百分号格式(如 %ff)的方式。在某些情况下,未解码的参数可以通过正则表达式过滤。

漏洞分析

1. 绕过第一个正则表达式

  • 正则表达式:preg_match('/utils\.php\/*$/i', $_SERVER['PHP_SELF'])

  • 漏洞点:basename() 函数的行为

  • 解析:

  • 当我们构造 URL 为 /index.php/utils.php/%ff 时:

    • $_SERVER['PHP_SELF'] 的值为 /index.php/utils.php/%ff

    • basename($_SERVER['PHP_SELF']) 的结果会因为 %ff 被删除而变为 utils.php

    • 因此,尽管原始路径包含 utils.php,但由于 %ff 的存在,正则表达式无法匹配到 utils.php,从而绕过了过滤。

2. 绕过第二个正则表达式

  • 正则表达式:preg_match('/show_source/', $_SERVER['REQUEST_URI'])

  • 漏洞点:URL 编码未被解码。

  • 解析:

  • 当我们构造 URL 参数为 ?%73how_source=1?%73%68%6f%77%5f%73%6f%75%72%63%65=1 时:

    • %73s 的 URL 编码,%68h 的 URL 编码,以此类推。

    • $_SERVER['REQUEST_URI'] 获取到的是未解码的参数值,因此正则表达式无法匹配到字符串 show_source

EXP

  • 构造 URL 为:

/index.php/utils.php/%ff?%73how_source=1

或者:

/index.php/utils.php/%ff?%73%68%6f%77%5f%73%6f%75%72%63%65=1

XiaoHei_Q
关注
NSSCTF-鹤城2021-wp
F1rstb100d
09-22 860
NSSCTF-鹤城2021-wp
鹤城2021 Crypto Writes up
weixin_56678592的博客
10-08 3680
鹤城2021 Crypto Writes up 这比赛原题横行有点水,跟着大佬们拿了个34名。 #1 easy_crypto 附件: 公正公正公正诚信文明公正民主公正法治法治诚信民主自由敬业公正友善公正平等平等法治民主平等平等和谐敬业自由诚信平等和谐平等公正法治法治平等平等爱国和谐公正平等敬业公正敬业自由敬业平等自由法治和谐平等文明自由诚信自由平等富强公正敬业平等民主公正诚信和谐公正文明公正爱国自由诚信自由平等文明公正诚信富强自由法治法治平等平等自由平等富强法治诚信和谐 社会主义核心价值观加密,在线解
[鹤城 2021]EasyP
errorr0
04-17 4161
日常做题
[鹤城 2021]EasyP WriteUp
weixin_73508964的博客
09-27 1198
从今天开始写wp了,做下学习记录。
[鹤城 2021]EasyP的题解
weixin_45446164的博客
07-14 339
​挺有意思的一道文件包含题。
[鹤城 2021]EasyP wp(代码审计)
Leaf_initial的博客
04-11 418
变为_,所以在构造payload的时候我们可以将show_source变为show[source。正则匹配,我们不能直接输入show_source=‘’,但是由于php的特性,会将遇到的第一个。$_SERVER[‘SCRIPT_URI’] //返回当前⻚面的 URI。$_SERVER[‘PHP_SELF’] //返回当前执行脚本的文件名。被狠狠地坑了一把,这题的secret变量是个坑,受不了了。这题正确的的解题方法是:我们需要绕过正则。再介绍一个basename()该变量存在,但是由于。
NSS [鹤城 2021]EasyP
Jay17的博客
10-29 601
NSS [鹤城 2021]EasyP
CTF web新手解题 PHP 代码审计 正则绕过 文件包含 [鹤城 2021]Middle magic [鹤城 2021]EasyP
2302_80480639的博客
11-12 618
长路漫漫,唯web作伴。
鹤城2021 Web
feng的博客
10-09 4601
easy_sql_2 登录功能,post传username和password。尝试admin,admin弱口令登录成功但是提示flag并不在这里。 username尝试-1'||'1'%23发现是password error!,因此猜测后端的应该是根据传入的username查出对应的password,查到了就不再是username error!,然后讲传入的password进行一次md5后与这个password比较,相同就登录成功。 尝试SQL注入,但是ban了select,因此利用table注入。 数据库
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8732
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
python 点云ply文件
07-01
python
竞争对比.xlsx
07-01
竞争对比.xlsx
关于DNA自动化检验技术体系及UMS运用研究.docx
07-01
关于DNA自动化检验技术体系及UMS运用研究.docx
分布式负载均衡算法-第1篇.pptx
07-01
分布式负载均衡算法-第1篇.pptx
数据挖掘与智能制造.pptx
最新发布
07-01
数据挖掘与智能制造.pptx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值