buuctf-[Zer0pts2020]Can you guess it?

buuctf-[Zer0pts2020]Can you guess it?

news/2024/9/22 4:26:27/文章来源:https://blog.csdn.net/2202_75317918/article/details/133464884

点击source，进入源代码

<?php
include 'config.php'; // FLAG is defined in config.phpif (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {exit("I don't know what you are thinking, but I won't let you read it :)");
}if (isset($_GET['source'])) {highlight_file(basename($_SERVER['PHP_SELF']));exit();
}$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {$guess = (string) $_POST['guess'];if (hash_equals($secret, $guess)) {$message = 'Congratulations! The flag is: ' . FLAG;} else {$message = 'Wrong.';}
}
?>
<!doctype html>
<html lang="en"><head><meta charset="utf-8"><title>Can you guess it?</title></head><body><h1>Can you guess it?</h1><p>If your guess is correct, I'll give you the flag.</p><p><a href="?source">Source</a></p><hr>
<?php if (isset($message)) { ?><p><?= $message ?></p>
<?php } ?><form action="index.php" method="POST"><input type="text" name="guess"><input type="submit"></form></body>
</html>

后面有一个随机数，如果能够破解随机数就能得到flag，但是发现没有什么用

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {exit("I don't know what you are thinking, but I won't let you read it :)");
}if (isset($_GET['source'])) {highlight_file(basename($_SERVER['PHP_SELF']));exit();
}

$_SERVER['PHP_SELF']会获取我们当前的访问路径，并且PHP在根据URI解析到对应文件后会忽略掉URL中多余的部分

就是代表的当前php文件的绝对路径

比如现在这个文件是在var/www/html/index.php，那么$_SERVER['PHP_SELF']代表的就是index.php

basename可以理解为对传入的参数路径截取最后一段作为返回值，但是该函数发现最后一段为不可见字符时会退取上一层的目录

通过构造URI让其包含config.php这个文件名再让basename函数截取出来

当前绝对路径不能有config.php，因为这里是index.php的源码，正常访问config.php没有问题，但是不能访问index.php/config.php

而且这个正则匹配只匹配路径的尾巴，因此index.php/config.php/abc.php就能绕过正则，因此思路就很明确了结合上面的basename介绍，就是在末尾加上特定字符绕过正则后能被basename函数消去。而且一定要存在source，否则都无法触发basename函数。

basename()函数存在一个问题，它会去掉文件名开头的非ASCII值：

eg.

var_dump(basename("xffconfig.php")); // => config.php
var_dump(basename("config.php/xff")); // => config.php

所以这样就能绕过正则了，payload：

/index.php/config.php/%ff?source

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.xdnf.cn/news/147018.html

如若内容造成侵权/违法违规/事实不符，请联系一条长河网进行投诉反馈，一经查实，立即删除！

相关文章

【算法学习】-【双指针】-【复写零】

【算法学习】-【双指针】-【复写零】

LeetCode原题链接：1089. 复写零下面是题目描述： 给你一个长度固定的整数数组 arr ，请你将该数组中出现的每个零都复写一遍，并将其余的元素向右平移。注意：请不要在超过该数组长度的位置写入元素。请对输入的数组 …

阅读更多...

【浅记】分而治之

【浅记】分而治之

归并排序算法流程： 将数组A[1,n]排序问题分解为A[1,n/2]和A[n/21,n]排序问题递归解决子问题得到两个有序的子数组将两个子数组合并为一个有序数组符合分而治之的思想： 分解原问题解决子问题合并问题解递归式求解递归树法用树的形式表示抽象递…

阅读更多...

7.网络原理之TCP_IP(下)

7.网络原理之TCP_IP(下)

文章目录 4.传输层重点协议4.1TCP协议4.1.1TCP协议段格式4.1.2TCP原理4.1.2.1确认应答机制 ACK（安全机制）4.1.2.2超时重传机制（安全机制）4.1.2.3连接管理机制（安全机制）4.1.2.4滑动窗口（效率机制…

阅读更多...

uni-app：实现元素在屏幕中的居中（绝对定位absolute）

uni-app：实现元素在屏幕中的居中（绝对定位absolute）

一、实现水平居中效果代码 <template><view><view class"center">我需要居中</view></view> </template><style>.center {position: absolute;left:50%;transform: translateX(-50%);border:1px solid black;} </s…

阅读更多...

freertos简介与移植

freertos简介与移植

freertos是一个可裁剪的小型rtos系统，特点： 支持抢占式，合作式和时间片调度saferos衍生自freertos，更完整提供了一个用于低功耗的tickless模式系统的组件在创建时可以选择动态或者静态的ram，例如任务，消息…

阅读更多...

快排三种递归及其优化，非递归和三路划分

快排三种递归及其优化，非递归和三路划分

个人主页：Lei宝啊愿所有美好如期而遇目录快排简介： 快排的三种递归实现： Hoare： 挖坑： 双指针： 小区间优化： 三数取中优化： 快排非递归实现： 快排的三路划…

阅读更多...

计算机网络（一）：概述

计算机网络（一）：概述

参考引用计算机网络微课堂-湖科大教书匠计算机网络（第7版）-谢希仁 1. 计算机网络在信息时代的作用计算机网络已由一种通信基础设施发展成为一种重要的信息服务基础设施计算机网络已经像水、电、煤气这些基础设施一样，成为我们生活中不可或…

阅读更多...

《CTFshow-Web入门》10. Web 91~110

《CTFshow-Web入门》10. Web 91~110

Web 入门索引web91题解总结 web92题解总结 web93题解 web94题解 web95题解 web96题解 web97题解 web98题解 web99题解总结 web100题解 web101题解 web102题解 web103题解 web104题解 web105题解总结 web106题解 web107题解 web108题解 web109题解 web110题解 ctf - web入门索…

阅读更多...

红外遥控器数据格式，按下及松开判断

红外遥控器数据格式，按下及松开判断

红外遥控是一种无线、非接触控制技术，具有抗干扰能力强，信息传输可靠，功耗低，成本低，易实现等显著优点，被诸多电子设备特别是家用电器广泛采用，并越来越多的应用到计算机系统中。同类产品的红…

阅读更多...

iOS 视频压缩 mov转mp4 码率

iOS 视频压缩 mov转mp4 码率

最近还是因为IM模块的功能，IOS录制MOV视频发送后，安卓端无法播放，迫不得已兼容将MOV视频转为MP4发送。其中mov视频包括4K/24FPS、4K/30FPS、4K/60FPS、720p HD/30FPS、1080p HD/30FPS、1080p HD/60FPS！ 使用AVAssetExportSessi…

阅读更多...

使用sqlmap获取数据步骤

使用sqlmap获取数据步骤

文章目录 1.使用sqlmap获取所有数据库2.使用sqlmap获取当前连接数据库3.使用sqlmap获取当前数据库下所有表名4.使用sqlmap获取当前数据库下某个表下所有列名5.使用sqlmap获取当前数据库下某个表下指定字段的数据6.测试当前用户是否是管理员7.使用burpsqlmap批量检测8.脱库命令9…

阅读更多...

zkLogin构建者的最佳实践和业务思考

zkLogin构建者的最佳实践和业务思考

随着zkLogin在Sui主网上线，构建者可以开始为其应用程序提供丝滑的帐户创建服务。与任何新技术集成一样，构建者需要考虑许多重要的问题，以降低风险并成功优化。本文概述了其中一些考虑因素，并突出了zkLogin文档中提供的明确指导。…

阅读更多...

二、机器学习基础知识：Python数据处理基础

二、机器学习基础知识：Python数据处理基础

文章目录 1、基本数据类型1.1 数字类型（Number）1.2 字符串类型（String）1.3 列表类型（List）1.4 元组类型（Tuple）1.5 字典类型（Dictionary）1.6 集合类型&#x…

阅读更多...

掌动智能：替代JMeter的压力测试工具有哪些

掌动智能：替代JMeter的压力测试工具有哪些

JMeter是一个广泛使用的开源压力测试工具，但在实际应用中，也有一些其他优秀的替代品可供选择。本文将介绍几个可替代JMeter的压力测试工具，它们在功能、性能和易用性方面都具有独特优势，可以满足不同压力测试需求的选择。一、Gat…

阅读更多...

lvgl不能显示图片，但可以显示按键？

lvgl不能显示图片，但可以显示按键？

AT32F403A, IAR, ST7735S, LVGL8.3。一、现象： 本来想着用LVGL做一个摄像头的显示功能切换动态。可是死活实现不了功能。因为移植好LVGL后，首先测试了显示按键，功能正常，以为是一切正常。在模拟器上调试效果完成后&#xf…

阅读更多...

Scala第十三章节

Scala第十三章节

Scala第十三章节 1. 高阶函数介绍 2. 作为值的函数 3. 匿名函数 4. 柯里化 5. 闭包 6. 控制抽象 7. 案例: 计算器 scala总目录文档资料下载

阅读更多...

IDEA git操作技巧大全，持续更新中

IDEA git操作技巧大全，持续更新中

作者简介目录 1.创建新项目 2.推拉代码 3.状态标识 5.cherry pick 6.revert 7.squash 8.版本回退 9.合并冲突 1.创建新项目首先我们在GitHub上创建一个新的项目，然后将这个空项目拉到本地，在本地搭建起一个maven项目的骨架再推上去&#xff0…

阅读更多...

Python集成开发环境（IDE）：WingPro for Mac

Python集成开发环境（IDE）：WingPro for Mac

WingPro for Mac是一款Python集成开发环境（IDE）软件，它提供了一系列强大的工具和功能，帮助Python开发人员提高开发效率和质量。 WingPro for Mac拥有直观的用户界面和强大的调试器，可以帮助用户快速定位问题和修复错误…

阅读更多...

12链表-双指针

12链表-双指针

目录 LeetCode之路——21. 合并两个有序链表分析： LeetCode之路——19. 删除链表的倒数第 N 个结点分析： LeetCode之路——21. 合并两个有序链表将两个升序链表合并为一个新的升序链表并返回。新链表是通过拼接给定的两个链表的所有节点组成的…

阅读更多...

宝塔反代openai官方API接口详细教程，502 Bad Gateway问题解决

宝塔反代openai官方API接口详细教程，502 Bad Gateway问题解决

一、前言宝塔反代openai官方API接口详细教程，实现国内使用ChatGPT502 Bad Gateway问题解决， 此方法最简单快捷，没有复杂步骤，不容易出错，即最简单，零代码、零部署的方法。二、实现前提一台海外VPS服务…

阅读更多...

最新文章