拐弯抹角

先贴代码

  <?php

 // code by SEC@USTC

 echo '<html><head><meta http-equiv="charset" content="gbk"></head><body>';

 $URL = $_SERVER['REQUEST_URI'];

 //echo 'URL: '.$URL.'<br/>';

 $flag = "CTF{???}";

 $code = str_replace($flag, 'CTF{???}', file_get_contents('./index.php'));

 $stop = 0;

 //这道题目本身也有教学的目的

 //第一,我们可以构造 /indirection/a/../ /indirection/./ 等等这一类的

 //所以,第一个要求就是不得出现 ./

 if($flag && strpos($URL, './') !== FALSE){

     $flag = "";

     $stop = 1;        //Pass

 }

 //第二,我们可以构造 \ 来代替被过滤的 /

 //所以,第二个要求就是不得出现 ../

 if($flag && strpos($URL, '\\') !== FALSE){

     $flag = "";

     $stop = 2;        //Pass

 }

 //第三,有的系统大小写通用,例如 indirectioN/

 //你也可以用?和#等等的字符绕过,这需要统一解决

 //所以,第三个要求对可以用的字符做了限制,a-z / 和 .

 $matches = array();

 preg_match('/^([0-9a-z\/.]+)$/', $URL, $matches);

 if($flag && empty($matches) || $matches[1] != $URL){

     $flag = "";

     $stop = 3;        //Pass

 }

 //第四,多个 / 也是可以的

 //所以,第四个要求是不得出现 //

 if($flag && strpos($URL, '//') !== FALSE){

     $flag = "";

     $stop = 4;        //Pass

 }

 //第五,显然加上index.php或者减去index.php都是可以的

 //所以我们下一个要求就是必须包含/index.php,并且以此结尾

 if($flag && substr($URL, -10) !== '/index.php'){

     $flag = "";

     $stop = 5;        //Not Pass

 }

 //第六,我们知道在index.php后面加.也是可以的

 //所以我们禁止p后面出现.这个符号

 if($flag && strpos($URL, 'p.') !== FALSE){

     $flag = "";

     $stop = 6;        //Not Pass

 }

 //第七,现在是最关键的时刻

 //你的$URL必须与/indirection/index.php有所不同

 if($flag && $URL == '/indirection/index.php'){

     $flag = "";

     $stop = 7;        //Not Pass

 }

 if(!$stop) $stop = 8;

 echo 'Flag: '.$flag;

 echo '<hr />';

 for($i = 1; $i < $stop; $i++)

     $code = str_replace('//Pass '.$i, '//Pass', $code);

 for(; $i < 8; $i++)

     $code = str_replace('//Pass '.$i, '//Not Pass', $code);

 echo highlight_string($code, TRUE);

 echo '</body></html>';

上面的代码就是一系列思路讲解,可以好好地看一下

又来学习新姿势了:这题的关键在于伪静态,比如url中含有xxxx.php/xx/x,那么.php后的xx就会被当成参数名,x会被当成参数

所以这里的payload可以这么构造:http://ctf5.shiyanbar.com/indirection/index.php/x/index.php

Forms

看看源码没啥提示,那就直接抓包看看

把showsource的值改成1,得到了我们想要的东西

 $a = $_POST["PIN"];

 if ($a == -19827747736161128312837161661727773716166727272616149001823847) {

     echo "Congratulations! The flag is $flag";

 } else {

     echo "User with provided PIN not found.";

 }

这不是送分题么,直接把这一大段post给pin就完事了

实验吧_拐弯抹角(url伪静态)&Forms的更多相关文章

  1. ASP.NET URL伪静态重写实现方法

    ASP.NET URL伪静态重写实现方法 首先说下,ASP.NET URL伪静态只是将~/a_1.html指向到了~/a.aspx?ID=1,但a.aspx还是真实存在的,你不用./a_1.html来 ...

  2. SEO之基于thinkphp的URL伪静态

    最近基于thinkphp开发了个导购网站,现在有时间,将遇到的伪静态问题整理下,与大家分享.1.设置URL伪静态在config.ini.php中设置,如果只想前台URL伪静态,那么只在前台的confi ...

  3. dt二次开发之-url伪静态的自定义

    dt内核的方便性在于代码内核完全开源,都可以根据自身需要进行优化整改,个人在这段时间的深入研究,发现这套内核的方便性,今天继续给大家分享下DT的url伪静态如何自定义函数. url自定义文件是在api ...

  4. ThinkPHP下隐藏index.php以及URL伪静态

    第一种方法: 设置url的重写模式(默认模式是1) 'URL_MODEL' => 2, // URL访问模式,可选参数0.1.2.3,代表以下四种模式: 第二种方法:  使用Apache来进行设 ...

  5. 开启URL伪静态的方法

    ## 开启URL伪静态的方法.txt# 1. 请确认您服务器的类型. ThinkSNS的伪静态规则支持Apache.IIS.Nginx. 2. 请确认您的服务器支持URL Rewrite(可从服务器提 ...

  6. DZ 3.2 URL 伪静态配置 教程

    原文转自:http://www.zccode.com/thread-682-1-1.html 教程说明: 1 首先需要下载URL重写工具,拷到服务器下面安装即可,这里配置IIS7(x64)伪静态. 工 ...

  7. ThinkPHP - URL - 伪静态 - 路由 - 重写

    URL: 一.URL规则 1.默认是区分大小写,可以修改(配置文件)为不区分大小写. 2. //修改URL大小写问题 'URL_CASE_INSENSITIVE' =>true, 如果模块名为 ...

  8. thinkphp URL规则、URL伪静态、URL路由、URL重写、URL生成(十五)

    原文:thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成(十五) 本章节:详细介绍thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成 一.URL ...

  9. ThinkPHP URL伪静态、路由规则、重写、生成

    一.URL规则    1.默认是区分大小写的     2.如果我们不想区分大小写可以改配置文件        'URL_CASE_INSENSITIVE'=>true,//url不区分大小写   ...

随机推荐

  1. GLSL Versions和GLSL ES Versions 对比

    You can use the #version command as the first line of your shader to specify GLSL version: #version ...

  2. Java字符串的split(String str)方法空串的问题

    String strs[] = "SS1BB2CC3".split("\\D+"); public static String Test(){ Date d = ...

  3. Beta阶段敏捷冲刺报告-DAY2

    Beta阶段敏捷冲刺报告-DAY2 Scrum Meeting 敏捷开发日期 2017.11.3 会议时间 13:00 会议地点 微信群 参会人员 项目组全体成员 会议内容 打包问题修复, 爬虫优化, ...

  4. vue 保留两位小数 不能直接用toFixed(2) ?

    用vue做项目的时候多多少少都会遇到这个问题 刚开始我是用toFixed()这个方法来写的  效果是有的 但是控制台一直是红红的围绕着我 突然想到 vue和jquery混搭 的 问题 于是乎 看了一下 ...

  5. Java面试题合集(二)

    接下来几篇文章准备系统整理一下有关Java的面试题,分为基础篇,javaweb篇,框架篇,数据库篇,多线程篇,并发篇,算法篇等等,陆续更新中.其他方面如前端后端等等的面试题也在整理中,都会有的. 注: ...

  6. thinkphp框架的大D方法应用

    大D方法中需要传递一个模型,比如UserModer,就传递D('User'),而数据库中存在一个表比如think_user,其中think就是前缀. 在UserModel里面存在自动验证.自动完成可以 ...

  7. php的打印sql语句的方法

    echo M()->_sql(); 这样就可以调试当前生成的sql语句: //获取指定天的开始时间和结束时间 $datez="2016-05-12"; $t = strtot ...

  8. Mego(05) - 创建模型

    Mego框架使用一组约定来基于CLR类来构建模型.您可以指定其他配置来补充和/或覆盖通过约定发现的内容. 这里需要强调的我们EF不同的是框架只支持数据注释的语法来构建模型,后期只有通过其他接口才能更改 ...

  9. 获取apk项目的MD5值和SHA1值

    一些可说可不说的话: * 以前有一个更简单的方法,在as的右边工具栏的 gradle 面板中可以很方便的获取到: * 上次用也是在2年前,时间长了给忘记了,不过我记得我当时写了笔记,这会笔记不在身边, ...

  10. 阿里云API网关(14)流控策略

    网关指南: https://help.aliyun.com/document_detail/29487.html?spm=5176.doc48835.6.550.23Oqbl 网关控制台: https ...