-
[Zer0pts2020]Can you guess it?
[Zer0pts2020]Can you guess it?
查看源码:include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)"); } if (isset($_GET['source'])) { highlight_file(basename($_SERVER['PHP_SELF'])); exit(); } $secret = bin2hex(random_bytes(64)); if (isset($_POST['guess'])) { $guess = (string) $_POST['guess']; if (hash_equals($secret, $guess)) { $message = 'Congratulations! The flag is: ' . FLAG; } else { $message = 'Wrong.'; } } ?>- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
提示了flag在config.php中
$_SERVER用于获取当前执行脚本的文件名,与 document root 有关。例如,在地址为 http://c.biancheng.net/test.php/foo.bar 的脚本中使用 $_SERVER[‘PHP_SELF’]将得到 /test.php/foo.bar
如果url是:http://xxx/index.php/a.php/a/b/c/d/?a=1
$_SERVER[‘PHP_SELF’]的值就是index.php/a.php/a/b/c/d/ (忽略传参)第一个if做了正则的判断,判断$_SERVER获取到的值是否以config.php/* 结尾。相当于要求config.php/后不能有自读,如果是则退出。
结合提示,猜测我们需要绕过限制,读取到config.php第二个if如果传入了source参数,就highlight_file 高亮显示$_SERVER中经过basename后提取到的文件
绕过正则可以使用不存在于ascii码表中的字符,比如中文符号?、《》、中文等,例如index.php/config.php/??source(第一个为中文问号),此时正则就会失效,SERVER获取到的就是index.php/config.php(忽略传参),经过basenmae后就是config.php,这样既可以绕过正则匹配,也可以绕过basename的过滤
-
相关阅读:
日常工作中常用的抓包工具都有哪些呢?
进程的退出
JavaWeb-day28_HTML
Talk预告 | 英伟达范麟熙: MineDojo, 基于Minecraft的开放式通用人工智能体学习平台
设计模式之组合模式
QT软件开发-基于FFMPEG设计录屏与rtsp、rtmp推流软件(支持桌面与摄像头)(一)
【算法|双指针系列No.8】leetcode18. 四数之和
在C#中,如何以编程的方式设置 Excel 单元格样式
妹子天天要换新头像?没问题,通过爬虫爬取精美头像
【FAQ】关于获取运动健康数据的常见问题及解答
- 原文地址:https://blog.csdn.net/pakho_C/article/details/126403165
