CTFer成长记录——Web专题·双写绕过

合集 - CTF之web专题(37)

1.CTFer成长记录——web专题·本地访问网址2023-06-262.CTFer成长记录——web专题·一句话木马2023-06-273.CTFer成长记录——Web专题·从cookie中获取信息2023-06-27

4.CTFer成长记录——Web专题·双写绕过2023-06-27

5.CTFer成长记录——Web专题·robots协议2023-06-286.CTFer成长记录——Web专题·Linux中的.swp文件2023-06-297.CTFer成长记录——Web专题·修改页面元素2023-06-298.CTFer成长记录——Web专题·判断绕过2023-07-099.CTFer成长记录——CTF之Web专题·初识反序列化2023-07-1410.CTFer成长记录——CTF之Web专题·攻防世界-PHP22023-07-2011. CTFer成长记录——CTF之Web专题·bugku-Simple_SSTI_22023-07-2412.CTFer成长记录——CTF之Web专题·bugku-eval2023-07-2413.CTFer成长记录——CTF之Web专题·bugku-变量12023-07-2714.CTFer成长记录——CTF之Web专题·[ACTF2020 新生赛]Include2023-07-2715. CTFer成长记录——CTF之Web专题·bugku—备份是个好习惯2023-07-2816.CTFer成长记录——CTF之Web专题·攻防世界—easyupload2023-07-2917.CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀2023-07-2918.CTFer成长记录——CTF之Web专题·攻防世界—easyphp2023-07-2919. CTFer成长记录——CTF之Web专题·buuctf—secretfile2023-07-2920.CTFer成长记录——CTF之Web专题·19强网杯—随便注2023-07-3021.CTFer成长记录——CTF之Web专题·攻防世界—file_include2023-07-3122.CTFer成长记录——CTF之Web专题·攻防世界—unseping2023-07-3123.CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter2023-07-3124.CTFer成长记录——CTF之Web专题·极客大挑战 2019—http2023-08-0225.CTFer成长记录——CTF之Web专题·极客大挑战—Upload2023-08-0226.CTFer成长记录——CTF之Web专题·极客大挑战—BabySQL2023-08-0327.CTFer成长记录——CTF之Web专题·攻防世界-Web_python_template_injection2023-08-0428.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize2023-08-0729.CTFer成长记录——CTF之Web专题·攻防世界-php_rce2023-08-0730.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_include2023-08-0731. CTFer成长记录——CTF之Web专题·buuctf-easy_tornado2023-08-0832.CTFer成长记录——CTF之Web专题·攻防世界—lottery2023-08-1033. CTFer成长记录——CTF之Web专题·攻防世界—ics-052023-08-1034.CTFer成长记录——CTF之Web专题·buuctf—admin2023-08-1035.CTFer成长记录——CTF之Web专题·buuctf—Cookies2023-08-1836. CTFer成长记录——CTF之Web专题·bugku—never_give_up2023-08-1837.CTFer成长记录——CTF之Web专题·[SWPUCTF 2021 新生赛]jicao2023-09-30

收起

一、题目链接

http://a.y1ng.vip:1126/employeeswork/

二、题意解析

  访问该网址：

  发现是一些不明觉厉的英文：

  关于Y1ng公司所有员工的通知：

  如果你认为你对自己的工作感到满意，你可以使用函数work_worthy()。

  但是是否值得，只会由我的机器人Precoce de Malingre来判断。

那么点开它给的链接试试：

给了一些php代码，还有个include'flag.php'的特征，那么可以尝试能否直接访问flag.php以获取flag。

结果是空白页面，查看源代码发现也没有任何东西。那么说明直接访问flag.php是行不通的。

接着回到题目所给的PHP代码中，include语句的作用类似C语言中的#include ，都是使用一个文件的内容。那么这里题目可能是想让我们从flag.php中输入东西，然后根据下面的判断语句来获取更多的信息。

这里直接执行了source=true，于是有了我们看到含有代码的页面，那么如果我们不对source进行赋值，改对work进行赋值，也许就可以获取flag了。

四、解法步骤

代码分析：

include 'flag.php';
if (isset($_GET['source']) && $_GET['source'] == 'true') {
    show_source(__FILE__);
    exit;
}
if (isset($_GET['work'])) {
    $what_is_your_attitude_of_your_work = $_GET['work'];  //将work的值赋值给what_is变量
    $what_you_say_can_gain_more_income = "y1ng_pretty_handsome";//这里将what_you变量的值赋值为y1ng_pre
    $what_Precoce_de_Malingre_said = preg_replace(      　　//接着对what_Pre利用preg_replace()函数进行赋值。

            "/$what_you_say_can_gain_more_income/",'', $what_is_your_attitude_of_your_work
    );
　　　　//  $temp = preg_replace(A,B,C)函数接受三个参数，A表示搜索模式：可以是字符串或字符串数组
　　　　　　　　　　　　　　　　　　　　　　　　　　B表示替换结果，C表示要搜索并替换的字符串
　　因此preg_replace(A,B,C)函数的的意义是：在what_is中进行查找，找到what_you的内容，并将其替换为空，然后最后的结果赋值给what_Pre
　　
    if ($what_Precoce_de_Malingre_said === $what_you_say_can_gain_more_income) {
　　　　　　//只要替换后的结果仍然等于替换前的结果，那么执行work_worthy()函数
        work_worthy();
    }
}
?>

我们想执行最后的判断语句，就必须让替换后的what_is等于替换前的what_you，换句话说，我们需要传入work的值，使得它经过what_you的替换后等于what_you。

但是一般情况下替换后，字符串就会改变，这里也不是空替换，必须替换一个字符串。

这时候可以使用双写该字符串，让函数替换掉重复的字符串，这样就达到了目的。

 

这样我们将what_you的值传入work两遍(在任意位置再复制一遍即可)，那么替换函数会将what_you的内容替换成空字符串，于是就可以达到替换前后一致的效果，最后得到flag：

四、总结

这道题稍微难点，需要一些看懂php语句的基础，对于不懂的函数，需要查询资料明白含义。构造双写字符串比较巧，不过这也是在看懂代码的基础上想出来的。