- 博客(10)
- 收藏
- 关注
RSS订阅原创 [bjdctf2020]zjctf,不过如此
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
2023-08-16 22:25:37
283
1
原创 buuctf-easy_serialize_php
serialize_info是$_SESSION序列化后的字符串经filter函数过滤后的值,而我们又可以通过extract函数通过post方法修改$_SESSION中的键值对,那么我们是否可以通过字符逃逸原理构造出键名为"img"的键值对呢?在filter函数中,发现'php','flag','php5','php4','fl1g'被过滤,因为这些字符串被替换为空字符串,导致序列化后的字符串字符数量减少,但记录的长度不变,我们就可利用这点构造出自己想要的变量和值,可构造payload。
2023-04-20 23:08:17
186
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人