buuctf-[Zer0pts2020]Can you guess it?

buuctf-[Zer0pts2020]Can you guess it?

news2024/11/24 9:32:54

点击source，进入源代码

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

后面有一个随机数，如果能够破解随机数就能得到flag，但是发现没有什么用

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$_SERVER['PHP_SELF']会获取我们当前的访问路径，并且PHP在根据URI解析到对应文件后会忽略掉URL中多余的部分

就是代表的当前php文件的绝对路径

比如现在这个文件是在var/www/html/index.php，那么$_SERVER['PHP_SELF']代表的就是index.php

basename可以理解为对传入的参数路径截取最后一段作为返回值，但是该函数发现最后一段为不可见字符时会退取上一层的目录

通过构造URI让其包含config.php这个文件名再让basename函数截取出来

当前绝对路径不能有config.php，因为这里是index.php的源码，正常访问config.php没有问题，但是不能访问index.php/config.php

而且这个正则匹配只匹配路径的尾巴，因此index.php/config.php/abc.php就能绕过正则，因此思路就很明确了结合上面的basename介绍，就是在末尾加上特定字符绕过正则后能被basename函数消去。而且一定要存在source，否则都无法触发basename函数。

basename()函数存在一个问题，它会去掉文件名开头的非ASCII值：

eg.

var_dump(basename("xffconfig.php")); // => config.php
var_dump(basename("config.php/xff")); // => config.php

所以这样就能绕过正则了，payload：

/index.php/config.php/%ff?source

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1054128.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！

相关文章

nodejs缓存策略

nodejs缓存策略

nodejs缓存策略缓存是一种强大的技术，可以显著提高nodejs应用程序的性能。在现代Web应用程序中，性能和效率是直接影响用户体验和应用程序成功的关键因素。通过将频繁访问的数据存储在缓存中，我们可以减少对昂贵的计算或外部API调用的需求…

阅读更多...

记录：Unity脚本的编写

记录：Unity脚本的编写

目录前言添加脚本到unity编写c#脚本查看效果前言在学习软件构造这门课的时候，对unity和c#进行了一定程度的学习，包括简单的建立地形，添加对象，添加材质等，前不久刚好学习了如何通过c#脚本对模型进行操控&#xff…

阅读更多...

加入PreAuthorize注解鉴权之后NullPointerException报错

加入PreAuthorize注解鉴权之后NullPointerException报错

记录一次很坑的bug，加入PreAuthorize注解鉴权之后NullPointerException报错，按理来说没有权限应该403报错，但是这个是500报错，原因是因为controller层的service注入失败，然而我去掉注解后service注入成功，并…

阅读更多...

简历项目优化关键方法论-START

简历项目优化关键方法论-START

START方法论是非常著名的面试法则，经常被面试官使用的工具 Situation:情况、事情、项目需求是在什么情况下发生Task:任务，你负责的做的是什么Action:动作，针对这样的情况分析，你采用了什么行动方式Result:结果，在这样…

阅读更多...

Lua如何调用C程序库

Lua如何调用C程序库

在Lua中加载和使用C库需要使用Lua的C API。以下是一个简单的示例： 首先，让我们创建一个C库。在C中，我们可以创建一个文件，如“mylib.c”，包含以下代码： #include <stdio.h> int add(int a, int b) …

阅读更多...

imgui开发笔记＜1＞、ubuntu环境下快速应用

imgui开发笔记＜1＞、ubuntu环境下快速应用

去这个链接下载imgui源码（在此之前需要安装opengl glfw3等等）： sudo apt-get install libglfw3-dev https://github.com/ocornut/imgui 我这里源码下载到/home/temp/imgui目录下，咱们不需要编译源码成库，而是直接将下…

阅读更多...

数据库设计流程---以案例熟悉

数据库设计流程---以案例熟悉

案例名字：宠物商店系统课程来源：点击跳转信息->概念模型->数据模型->数据库结构模型将现实世界中的信息转换为信息世界的概念模型（E-R模型） 业务逻辑构建 E-R 图确定三个实体：用户、商品、订单

阅读更多...

go-fastdfs分布式文件存储集群搭建和测试

go-fastdfs分布式文件存储集群搭建和测试

一、官方文件 https://sjqzhang.github.io/go-fastdfs/#character2、集群原理小集群原理： 大集群原理二、服务端集群部署 1、在集群每个节点机器上下载安装包 (建议使用最新稳定版本） wget --no-check-certificate https://github.com/sjqzhang/go…

阅读更多...

使用 wxPython 在 Windows 11 中实现任务栏通知功能

使用 wxPython 在 Windows 11 中实现任务栏通知功能

引言： 随着 Windows 11 的发布，用户对于更加智能、个性化的体验有了更高的期望。其中，任务栏通知功能成为了一个备受关注的特性。在本篇博客中，我们将介绍如何使用 wxPython 模块，在 Windows 11 中实现任务栏通知功能。…

阅读更多...

2023年第二十届中国研究生数学建模竞赛总结与分享

2023年第二十届中国研究生数学建模竞赛总结与分享

今天是国庆节，祝祖国繁荣富强。正好也学习不下去，就想着写写博客，总结一下自己在参加2023年第20届中国研究生数学建模比赛的一些感受。目录 1.基本介绍 2.比赛分享 1.基本介绍 1. 竞赛时间：竞赛定于2023年9月22日8:00至2023年9…

阅读更多...

26 docker前后端部署

26 docker前后端部署

[参考博客]((257条消息) DockerNginx部署前后端分离项目(SpringBootVue)的详细教程_在docker中安装nginx实现前后端分离_这里是杨杨吖的博客-CSDN博客) (DockerNginx部署前后端分离项目(SpringBootVue)) 安装docker # 1、yum 包更新到最新 yum update # 2、安装需要的软件包…

阅读更多...

Hudi第二章：集成Spark(二)

Hudi第二章：集成Spark(二)

系列文章目录 Hudi第一章：编译安装 Hudi第二章：集成Spark Hudi第二章：集成Spark(二) 文章目录系列文章目录前言一、IDEA1.环境准备2.代码编写1.插入数据2.查询数据3.更新数据4.指定时间点查询5.增量查询6.删除数据7.覆盖数据二、DeltaStre…

阅读更多...

【sql注入】如何通过SQL注入getshell？如何通过SQL注入读取文件或者数据库数据？一篇文章告诉你过程和原理。sql注入【二】

【sql注入】如何通过SQL注入getshell？如何通过SQL注入读取文件或者数据库数据？一篇文章告诉你过程和原理。sql注入【二】

前言本篇博客主要是通过piakchu靶场来讲解如何通过SQL注入漏洞来写入文件，读取文件。通过SQL输入来注入木马来getshell等，讲解了比较详细的过程； 如果想要学习SQL注入原理以及如何进行SQL注入，我也写了一篇详细的SQL注入方法及…

阅读更多...

国庆作业 day 10.1

国庆作业 day 10.1

使用select完成TCP并发服务器 #include "myhead.h" #define ERR_MSG(msg) do{\printf("%d\n",__LINE__);\perror(msg);\ }while(0) #define PORT 3696 #define IP "192.1168.10.22" int main(int argc, const char *argv[]) { //套接字int sfd…

阅读更多...

使用 sonarqube 进行代码质量检查

使用 sonarqube 进行代码质量检查

Docker 环境准备参考官方文档先对 Docker Server 进行参数调整 Because SonarQube uses an embedded Elasticsearch, make sure that your Docker host configuration complies with the Elasticsearch production mode requirements and File Descriptors configuration. # …

阅读更多...

Wing FTP Server安装配置结合内网穿透实现公网访问本地站点

Wing FTP Server安装配置结合内网穿透实现公网访问本地站点

Wing FTP Server安装配置结合内网穿透实现公网访问本地站点文章目录 Wing FTP Server安装配置结合内网穿透实现公网访问本地站点前言1.Wing FTP Server下载安装2.Wing FTP Server配置部署3.安装cpolar内网穿透3.1 注册账号3.2 下载cpolar客户端3.3 登录cpolar web ui管理界面3…

阅读更多...

【kubernetes】kubernetes中的Deployment使用

【kubernetes】kubernetes中的Deployment使用

1 Why need Deployment? K8S中Pod是用户管理工作负载的基本单位，Pod通常通过Service进行暴露，因此，通常需要管理一组Pod，RC和RS主要就实现了一组Pod的管理工作，其中，RC和RS的区别在于，RS提供更…

阅读更多...

C++ - 开散列的拉链法（哈希桶）介绍和实现

C++ - 开散列的拉链法（哈希桶）介绍和实现

前言之前我们介绍了，闭散列的开放地址法实现的哈希表：C - 开放地址法的哈希介绍 - 哈希表的仿函数例子_chihiro1122的博客-CSDN博客但是闭散列的开放地址法虽然是哈希表实现的一种，但是这种方式实现的哈希表，有一个很大的…

阅读更多...

使用sqlmap获取数据步骤

使用sqlmap获取数据步骤

文章目录 1.使用sqlmap获取所有数据库2.使用sqlmap获取当前连接数据库3.使用sqlmap获取当前数据库下所有表名4.使用sqlmap获取当前数据库下某个表下所有列名5.使用sqlmap获取当前数据库下某个表下指定字段的数据6.测试当前用户是否是管理员7.使用burpsqlmap批量检测8.脱库命令9…

阅读更多...

【接口技术】总线课堂习题

【接口技术】总线课堂习题

1：CPU在执行OUT DX, AL指令时，（）寄存器的内容送到地址总线上 A，DL B，DX C，AX D，DL 解答：B out指令是把AL的数据输出到DX的端口，因此AL寄存器的内容送到…

阅读更多...

推荐文章

最新文章