BUGKU—— No one knows regex better than me

知识点

1、在ASCII码表中

ASCII码规则

在代码中 /ddd 任意字符 三位八进制 /160表示p
在代码中 /xhh 任意字符 二位十六进制 /x70表示p

/056 为八进制代表句点或小数点

/160 为八进制代表小写字母 p

/150 为八进制代表小写字母 h

/x70 为十六进制代表小写字母 p

实况

1、打开靶机，发现直接就将源码展现出来了

2、对代码进行审计

 1  <?php 
 2 error_reporting(0);
 3 $zero=$_REQUEST['zero'];
 4 $first=$_REQUEST['first']; //传两个变量，zero和first变量
 5 $second=$zero.$first;
 6 if(preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second)){
 7     $key=$second;
 8     if(preg_match("//./.|flag/",$key)){
 9         die("Noooood hacker!");
10     }else{
11         $third=$first;
12         if(preg_match("///|/056/160/150/x70/i",$third)){
13             $end=substr($third,5);
14             highlight_file(base64_decode($zero).$end);//maybe flag in flag.php
15         }
16     }
17 }
18 else{
19     highlight_file(__FILE__);
20 }

1）

1 <?php
2 preg_match("///|/056/160/150/x70/i",$string)
3 //1.执行ASC码转为可打印字符 /056/160/150/x70 => .php
4 //2.执行php语法转义  // => /，剩下 /|.php
5 //3.执行正则语法转义  /| => |，剩下 |.php
6 ?>

2）

1 $zero=$_REQUEST['zero'];
2 $first=$_REQUEST['first']; //传两个变量，zero和first变量
3 $second=$zero.$first;
4 if(preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second)){
5     $key=$second;

echo $second 发现是把zero和first变量连起来

3）

 1  if(preg_match("//./.|flag/",$key)){
 2         die("Noooood hacker!");
 3     }else{
 4         $third=$first;
 5         if(preg_match("///|/056/160/150/x70/i",$third)){
 6             $end=substr($third,5);
 7             highlight_file(base64_decode($zero).$end);//maybe flag in flag.php
 8         }
 9     }
10 }
11 else{
12     highlight_file(__FILE__);

3、解题思路

1）

2）

key=second=zero.first，并且不能存在"//./.|flag/"，也就是说zero不能=flag或=.

3）

highlight_file(base64_decode($zero).$end)，会对$zero进行base64解密，所以我们直接将它进行base64加密$zero=ZmxhZw==

4、构造传参

?zero=ZmxhZw==&&first=girl|.php
或
?zero=ZmxhZw==&&first=aaaa|.php

得到flag

原创文章，作者：kepupublish，如若转载，请注明出处：https://blog.ytso.com/272269.html

BUGKU—— No one knows regex better than me

知识点

实况

相关推荐

发表回复