buuctf-[Zer0pts2020]Can you guess it?

buuctf-[Zer0pts2020]Can you guess it?

news/2024/11/14 5:33:56/文章来源:https://blog.csdn.net/2202_75317918/article/details/133464884

点击source，进入源代码

<?php
include 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {exit("I don't know what you are thinking, but I won't let you read it :)");
}if (isset($_GET['source'])) {highlight_file(basename($_SERVER['PHP_SELF']));exit();
}$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {$guess = (string) $_POST['guess'];if (hash_equals($secret, $guess)) {$message = 'Congratulations! The flag is: ' . FLAG;} else {$message = 'Wrong.';}
}
?>
<!doctype html>
<html lang="en"><head><meta charset="utf-8"><title>Can you guess it?</title></head><body><h1>Can you guess it?</h1><p>If your guess is correct, I'll give you the flag.</p><p><a href="?source">Source</a></p><hr>
<?php if (isset($message)) { ?><p><?= $message ?></p>
<?php } ?><form action="index.php" method="POST"><input type="text" name="guess"><input type="submit"></form></body>
</html>

后面有一个随机数，如果能够破解随机数就能得到flag，但是发现没有什么用

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {exit("I don't know what you are thinking, but I won't let you read it :)");
}if (isset($_GET['source'])) {highlight_file(basename($_SERVER['PHP_SELF']));exit();
}

$_SERVER['PHP_SELF']会获取我们当前的访问路径，并且PHP在根据URI解析到对应文件后会忽略掉URL中多余的部分

就是代表的当前php文件的绝对路径

比如现在这个文件是在var/www/html/index.php，那么$_SERVER['PHP_SELF']代表的就是index.php

basename可以理解为对传入的参数路径截取最后一段作为返回值，但是该函数发现最后一段为不可见字符时会退取上一层的目录

通过构造URI让其包含config.php这个文件名再让basename函数截取出来

当前绝对路径不能有config.php，因为这里是index.php的源码，正常访问config.php没有问题，但是不能访问index.php/config.php

而且这个正则匹配只匹配路径的尾巴，因此index.php/config.php/abc.php就能绕过正则，因此思路就很明确了结合上面的basename介绍，就是在末尾加上特定字符绕过正则后能被basename函数消去。而且一定要存在source，否则都无法触发basename函数。

basename()函数存在一个问题，它会去掉文件名开头的非ASCII值：

eg.

var_dump(basename("xffconfig.php")); // => config.php
var_dump(basename("config.php/xff")); // => config.php

所以这样就能绕过正则了，payload：

/index.php/config.php/%ff?source

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/92135.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

相关文章

RandomAccessFile实现断点续传

RandomAccessFile实现断点续传

断点续传是指在文件传输过程中，当传输中断或失败时，能够恢复传输并继续从上次中断的位置继续传输。 RandomAccessFile类 RandomAccessFile是Java提供的一个用于文件读写的类，它可以对文件进行随机访问，即可以直接跳转到文件的任意…

阅读更多...

IntelliJ IDEA 控制台中文乱码的四种解决方法

IntelliJ IDEA 控制台中文乱码的四种解决方法

前言 IntelliJ IDEA 如果不进行配置的话，运行程序时控制台有时候会遇到中文乱码，中文乱码问题非常严重，甚至影响我们对信息的获取和程序的跟踪。开发体验非常不好。本文中我总结出四点用于解决控制台中文乱码问题的方法，希望有助…

阅读更多...

scrapy爬取图片

scrapy爬取图片

文章目录 ImagesPipeline使用步骤：1. 数据解析： 获取图片的地址 & 2. 将存储图片地址的item提交到指定的管道类（hotgirls.py）3. 在管道文件中自制一个基于ImagesPipeLine的一个管道类！！天大的坑 &#…

阅读更多...

ChatGPT Prompting开发实战（十二）

ChatGPT Prompting开发实战（十二）

一、如何开发prompts实现个性化的对话方式通过设置“system”和“user”等roles，可以实现个性化的对话方式，并且可以结合参数“temperature”的设定来差异化LLM的输出内容。在此基础上，通过构建一个餐馆订餐对话机器人来具体演示对话过程。…

阅读更多...

git你学“废”了吗？——git撤销操作指令详解

git你学“废”了吗？——git撤销操作指令详解

git你学“废”了吗？——git撤销操作指令详解😎 前言🙌撤销的本质撤销修改情况一：撤销工作区的修改方式一：方式二：演示截图： 撤销修改情况二：撤销暂存区和工作区的修改操作截图&#…

阅读更多...

为什么字节大量用GO而不是Java？

为什么字节大量用GO而不是Java？

见字如面，我是军哥。我看很多程序员对字节编程语言选型很好奇，为此我还特地问了在字节的两位4-1的技术大佬朋友，然后加上自己的思考，总结了一下就以下 2 个原因： 1、选型上没有历史包袱字节的早期的程序员大多来自于…

阅读更多...

CISSP学习笔记：PKI和密码学应用

CISSP学习笔记：PKI和密码学应用

第七章 PKI和密码学应用 7.1 非对称密码学对称密码系统具有共享的秘钥系统，从而产生了安全秘钥分发的问题非对称密码学使用公钥和私钥对，无需支出复杂密码分发系统 7.1.1 公钥与私钥 7.1.2 RSA（兼具加密和数字签名） RSA算法…

阅读更多...

[论文笔记]UNILM

[论文笔记]UNILM

引言今天带来论文Unified Language Model Pre-training for Natural Language Understanding and Generation的笔记，论文标题是统一预训练语言模型用于自然语言理解和生成。本篇工作提出了一个新的统一预训练语言模型(Unifield pre-trained Language Model,UniLM)，可以同…

阅读更多...

Linux基本操作符(2)

Linux基本操作符(2)

W...Y的主页 😊 代码仓库分享 💕 关于Linux的操作符，在上篇博客中我们已经讲述了一些，都是Linux最基本的操作符。今天我们继续了解一些关于对文件及目录增删查改的操作符，话不多说我们直接上内容。目录 rm指令的回…

阅读更多...

Git/GitHub/Idea的搭配使用

Git/GitHub/Idea的搭配使用

目录 1. Git 下载安装1.1. 下载安装1.2. 配置 GitHub 秘钥 2. Idea 配置 Git3. Idea 配置 GitHub3.1. 获取 GitHub Token3.2. Idea 根据 Token 登录 GitHub3.3. Idea 提交代码到远程仓库3.3.1. 配置本地仓库3.3.2. GitHub 创建远程仓库1. 创建单层目录2. 创建多层目录3. 删除目…

阅读更多...

大数据-玩转数据-Flink Sql 窗口

大数据-玩转数据-Flink Sql 窗口

一、说明时间语义，要配合窗口操作才能发挥作用。最主要的用途，当然就是开窗口然后根据时间段做计算了。Table API和SQL中，主要有两种窗口：分组窗口（Group Windows）和含Over字句窗口（Over Win…

阅读更多...

卤制品配送经营商城小程序的用处是什么

卤制品配送经营商城小程序的用处是什么

卤制品也是食品领域重要的分支，尤其对年轻人来说，只要干净卫生好吃价格合理，那复购率宣传性自是不用说，而随着互联网发展，传统线下门店也须要通过线上破解难题或进一步扩大生意。而商城小程序无疑是商家通过线上私域…

阅读更多...

字符串函数与内存函数讲解

字符串函数与内存函数讲解

文章目录前言一、字符串函数1.求字符串长度strlen 2.长度不受限制的字符串函数(1)strcpy(2)strcat(3)strcmp 3.长度受限制的字符串函数(1)strncpy(2)strncat(3)strncmp 4.字符串查找(1)strstr(2)strtok 5.错误信息报告(1)strerror(2)perror 二、内存函数1.memcpy2.memmove3.me…

阅读更多...

Neural Networks for Fingerprint Recognition

Neural Networks for Fingerprint Recognition

Neural Computation ( IF 3.278 ) 摘要： 在采集指纹图像数据库后，设计了一种用于指纹识别的神经网络算法。当给出一对指纹图像时，算法输出两个图像来自同一手指的概率估计值。在一个实验中，神经网络使用几百对图像进行训练&…

阅读更多...

第 365 场 LeetCode 周赛题解

第 365 场 LeetCode 周赛题解

A 有序三元组中的最大值 I 参考 B B B 题做法… class Solution { public:using ll long long;long long maximumTripletValue(vector<int> &nums) {int n nums.size();vector<int> suf(n);partial_sum(nums.rbegin(), nums.rend(), suf.rbegin(), [](int x…

阅读更多...

golang工程——protobuf使用及原理

golang工程——protobuf使用及原理

相关文档源码：https://github.com/grpc/grpc-go 官方文档：https://www.grpc.io/docs/what-is-grpc/introduction/ protobuf编译器源码：https://github.com/protocolbuffers/protobuf proto3文档：https://protobuf.dev/programmin…

阅读更多...

加入PreAuthorize注解鉴权之后NullPointerException报错

加入PreAuthorize注解鉴权之后NullPointerException报错

记录一次很坑的bug，加入PreAuthorize注解鉴权之后NullPointerException报错，按理来说没有权限应该403报错，但是这个是500报错，原因是因为controller层的service注入失败，然而我去掉注解后service注入成功，并…

阅读更多...

使用VSCODE 调试ros2具体设置

使用VSCODE 调试ros2具体设置

vscode 调试 ROS2 张得帅！ 于 2023-09-09 15:39:39 发布 456 收藏 1 文章标签： vscode ros2 版权 1、在下列目录同层级找到.vscode文件夹 . ├── build ├── install ├── log └── src 2、安装ros插件 3、创建tasks.json文件，添…

阅读更多...

二十七、[进阶]MySQL默认存储引擎InnoDB的简单介绍

二十七、[进阶]MySQL默认存储引擎InnoDB的简单介绍

1、MySQL体系结构 MySQL大致可以分为连接层、服务层、引擎层、存储层四个层，这里需要注意，索引的结构操作是在存储引擎层完成的，所以不同的存储引擎，索引的结构是不一样的。 （1）体系结构示意图 &#xff0…

阅读更多...

国庆10.01

国庆10.01

TCPselect 代码服务器 #include<myhead.h> #include<sqlite3.h> #define PORT 6666 //端口号 #define IP "192.168.0.104" //IP地址//键盘事件 int jp(fd_set tempfds,int maxfd) {char buf[128] ""; //用来接收数据char buf1[128] …

阅读更多...

推荐文章

最新文章