拐弯抹角

先贴代码

  <?php

 // code by SEC@USTC

 echo '<html><head><meta http-equiv="charset" content="gbk"></head><body>';

 $URL = $_SERVER['REQUEST_URI'];

 //echo 'URL: '.$URL.'<br/>';

 $flag = "CTF{???}";

 $code = str_replace($flag, 'CTF{???}', file_get_contents('./index.php'));

 $stop = 0;

 //这道题目本身也有教学的目的

 //第一,我们可以构造 /indirection/a/../ /indirection/./ 等等这一类的

 //所以,第一个要求就是不得出现 ./

 if($flag && strpos($URL, './') !== FALSE){

     $flag = "";

     $stop = 1;        //Pass

 }

 //第二,我们可以构造 \ 来代替被过滤的 /

 //所以,第二个要求就是不得出现 ../

 if($flag && strpos($URL, '\\') !== FALSE){

     $flag = "";

     $stop = 2;        //Pass

 }

 //第三,有的系统大小写通用,例如 indirectioN/

 //你也可以用?和#等等的字符绕过,这需要统一解决

 //所以,第三个要求对可以用的字符做了限制,a-z / 和 .

 $matches = array();

 preg_match('/^([0-9a-z\/.]+)$/', $URL, $matches);

 if($flag && empty($matches) || $matches[1] != $URL){

     $flag = "";

     $stop = 3;        //Pass

 }

 //第四,多个 / 也是可以的

 //所以,第四个要求是不得出现 //

 if($flag && strpos($URL, '//') !== FALSE){

     $flag = "";

     $stop = 4;        //Pass

 }

 //第五,显然加上index.php或者减去index.php都是可以的

 //所以我们下一个要求就是必须包含/index.php,并且以此结尾

 if($flag && substr($URL, -10) !== '/index.php'){

     $flag = "";

     $stop = 5;        //Not Pass

 }

 //第六,我们知道在index.php后面加.也是可以的

 //所以我们禁止p后面出现.这个符号

 if($flag && strpos($URL, 'p.') !== FALSE){

     $flag = "";

     $stop = 6;        //Not Pass

 }

 //第七,现在是最关键的时刻

 //你的$URL必须与/indirection/index.php有所不同

 if($flag && $URL == '/indirection/index.php'){

     $flag = "";

     $stop = 7;        //Not Pass

 }

 if(!$stop) $stop = 8;

 echo 'Flag: '.$flag;

 echo '<hr />';

 for($i = 1; $i < $stop; $i++)

     $code = str_replace('//Pass '.$i, '//Pass', $code);

 for(; $i < 8; $i++)

     $code = str_replace('//Pass '.$i, '//Not Pass', $code);

 echo highlight_string($code, TRUE);

 echo '</body></html>';

上面的代码就是一系列思路讲解,可以好好地看一下

又来学习新姿势了:这题的关键在于伪静态,比如url中含有xxxx.php/xx/x,那么.php后的xx就会被当成参数名,x会被当成参数

所以这里的payload可以这么构造:http://ctf5.shiyanbar.com/indirection/index.php/x/index.php

Forms

看看源码没啥提示,那就直接抓包看看

把showsource的值改成1,得到了我们想要的东西

 $a = $_POST["PIN"];

 if ($a == -19827747736161128312837161661727773716166727272616149001823847) {

     echo "Congratulations! The flag is $flag";

 } else {

     echo "User with provided PIN not found.";

 }

这不是送分题么,直接把这一大段post给pin就完事了

实验吧_拐弯抹角(url伪静态)&Forms的更多相关文章

  1. ASP.NET URL伪静态重写实现方法

    ASP.NET URL伪静态重写实现方法 首先说下,ASP.NET URL伪静态只是将~/a_1.html指向到了~/a.aspx?ID=1,但a.aspx还是真实存在的,你不用./a_1.html来 ...

  2. SEO之基于thinkphp的URL伪静态

    最近基于thinkphp开发了个导购网站,现在有时间,将遇到的伪静态问题整理下,与大家分享.1.设置URL伪静态在config.ini.php中设置,如果只想前台URL伪静态,那么只在前台的confi ...

  3. dt二次开发之-url伪静态的自定义

    dt内核的方便性在于代码内核完全开源,都可以根据自身需要进行优化整改,个人在这段时间的深入研究,发现这套内核的方便性,今天继续给大家分享下DT的url伪静态如何自定义函数. url自定义文件是在api ...

  4. ThinkPHP下隐藏index.php以及URL伪静态

    第一种方法: 设置url的重写模式(默认模式是1) 'URL_MODEL' => 2, // URL访问模式,可选参数0.1.2.3,代表以下四种模式: 第二种方法:  使用Apache来进行设 ...

  5. 开启URL伪静态的方法

    ## 开启URL伪静态的方法.txt# 1. 请确认您服务器的类型. ThinkSNS的伪静态规则支持Apache.IIS.Nginx. 2. 请确认您的服务器支持URL Rewrite(可从服务器提 ...

  6. DZ 3.2 URL 伪静态配置 教程

    原文转自:http://www.zccode.com/thread-682-1-1.html 教程说明: 1 首先需要下载URL重写工具,拷到服务器下面安装即可,这里配置IIS7(x64)伪静态. 工 ...

  7. ThinkPHP - URL - 伪静态 - 路由 - 重写

    URL: 一.URL规则 1.默认是区分大小写,可以修改(配置文件)为不区分大小写. 2. //修改URL大小写问题 'URL_CASE_INSENSITIVE' =>true, 如果模块名为 ...

  8. thinkphp URL规则、URL伪静态、URL路由、URL重写、URL生成(十五)

    原文:thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成(十五) 本章节:详细介绍thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成 一.URL ...

  9. ThinkPHP URL伪静态、路由规则、重写、生成

    一.URL规则    1.默认是区分大小写的     2.如果我们不想区分大小写可以改配置文件        'URL_CASE_INSENSITIVE'=>true,//url不区分大小写   ...

随机推荐

  1. ResultSet的getInt()和getString()方法详解

     数据库tt的examstudent数据表如下:   在MySQL中执行查询语句如下: ResultSet rs = null; String sql="SELECT flow_id,Typ ...

  2. 从零部署Spring boot项目到云服务器(正式部署)

    上一篇文章总结了在Linux云服务器上部署Spring Boot项目的准备过程,包括环境的安装配置,项目的打包上传等. 链接在这里:http://www.cnblogs.com/Lovebugs/p/ ...

  3. UWP 使用Windows.Media.FaceAnalysis.FaceDetector检测人脸

    话说现在检测人脸的技术有很多.有在线AI服务,比如Megvii Face++,Microsoft Cognitive Services,Tencent AI等等.还有本地的库实现的,比如OpenCV. ...

  4. QT5.8 for embedded

    http://doc.qt.io/qt-5/embedded-linux.html 先占座~

  5. Beta第一天

    听说

  6. Alpha冲刺Day12

    Alpha冲刺Day12 一:站立式会议 今日安排: 由黄腾飞和张梨贤继续完成政府人员模块下的风险管控子模块下的分级统计展示 由林静继续完成企业注册模块 由周静平完成登录页面模块 二:实际项目进展 人 ...

  7. Android实验报告

    实验名称:Android程序设计 实验时间:2017.5.24 实验人员:20162309邢天岳(结对同学20162313苑洪铭) 实验目的:使用android stuidio开发工具进行基本安卓软件 ...

  8. DML数据操作语言之谓词,case表达式

    谓词:就是返回值是真值的函数. 前面接触到的“>” “<” “=”等称为比较运算符,它们的正式名称就是比较谓词.因为它们比较之后返回的结果是真值. 由于谓词 返回的结果是一个真值 ,即tr ...

  9. csrf学习笔记

    CSRF全称Cross Site Request Forgery,即跨站点请求伪造.我们知道,攻击时常常伴随着各种各样的请求,而攻击的发生也是由各种请求造成的. CSRF攻击能够达到的目的是使受害者发 ...

  10. 利用封装、继承对Java代码进行优化

    注:本文实例分别可以在oldcastle(未优化的代码)和newcastle(优化后的代码)中查看,网址见文末 城堡游戏: 城堡中有多个房间,用户通过输入north, south, east, wes ...