拐弯抹角

先贴代码

  <?php

 // code by SEC@USTC

 echo '<html><head><meta http-equiv="charset" content="gbk"></head><body>';

 $URL = $_SERVER['REQUEST_URI'];

 //echo 'URL: '.$URL.'<br/>';

 $flag = "CTF{???}";

 $code = str_replace($flag, 'CTF{???}', file_get_contents('./index.php'));

 $stop = 0;

 //这道题目本身也有教学的目的

 //第一,我们可以构造 /indirection/a/../ /indirection/./ 等等这一类的

 //所以,第一个要求就是不得出现 ./

 if($flag && strpos($URL, './') !== FALSE){

     $flag = "";

     $stop = 1;        //Pass

 }

 //第二,我们可以构造 \ 来代替被过滤的 /

 //所以,第二个要求就是不得出现 ../

 if($flag && strpos($URL, '\\') !== FALSE){

     $flag = "";

     $stop = 2;        //Pass

 }

 //第三,有的系统大小写通用,例如 indirectioN/

 //你也可以用?和#等等的字符绕过,这需要统一解决

 //所以,第三个要求对可以用的字符做了限制,a-z / 和 .

 $matches = array();

 preg_match('/^([0-9a-z\/.]+)$/', $URL, $matches);

 if($flag && empty($matches) || $matches[1] != $URL){

     $flag = "";

     $stop = 3;        //Pass

 }

 //第四,多个 / 也是可以的

 //所以,第四个要求是不得出现 //

 if($flag && strpos($URL, '//') !== FALSE){

     $flag = "";

     $stop = 4;        //Pass

 }

 //第五,显然加上index.php或者减去index.php都是可以的

 //所以我们下一个要求就是必须包含/index.php,并且以此结尾

 if($flag && substr($URL, -10) !== '/index.php'){

     $flag = "";

     $stop = 5;        //Not Pass

 }

 //第六,我们知道在index.php后面加.也是可以的

 //所以我们禁止p后面出现.这个符号

 if($flag && strpos($URL, 'p.') !== FALSE){

     $flag = "";

     $stop = 6;        //Not Pass

 }

 //第七,现在是最关键的时刻

 //你的$URL必须与/indirection/index.php有所不同

 if($flag && $URL == '/indirection/index.php'){

     $flag = "";

     $stop = 7;        //Not Pass

 }

 if(!$stop) $stop = 8;

 echo 'Flag: '.$flag;

 echo '<hr />';

 for($i = 1; $i < $stop; $i++)

     $code = str_replace('//Pass '.$i, '//Pass', $code);

 for(; $i < 8; $i++)

     $code = str_replace('//Pass '.$i, '//Not Pass', $code);

 echo highlight_string($code, TRUE);

 echo '</body></html>';

上面的代码就是一系列思路讲解,可以好好地看一下

又来学习新姿势了:这题的关键在于伪静态,比如url中含有xxxx.php/xx/x,那么.php后的xx就会被当成参数名,x会被当成参数

所以这里的payload可以这么构造:http://ctf5.shiyanbar.com/indirection/index.php/x/index.php

Forms

看看源码没啥提示,那就直接抓包看看

把showsource的值改成1,得到了我们想要的东西

 $a = $_POST["PIN"];

 if ($a == -19827747736161128312837161661727773716166727272616149001823847) {

     echo "Congratulations! The flag is $flag";

 } else {

     echo "User with provided PIN not found.";

 }

这不是送分题么,直接把这一大段post给pin就完事了

实验吧_拐弯抹角(url伪静态)&Forms的更多相关文章

  1. ASP.NET URL伪静态重写实现方法

    ASP.NET URL伪静态重写实现方法 首先说下,ASP.NET URL伪静态只是将~/a_1.html指向到了~/a.aspx?ID=1,但a.aspx还是真实存在的,你不用./a_1.html来 ...

  2. SEO之基于thinkphp的URL伪静态

    最近基于thinkphp开发了个导购网站,现在有时间,将遇到的伪静态问题整理下,与大家分享.1.设置URL伪静态在config.ini.php中设置,如果只想前台URL伪静态,那么只在前台的confi ...

  3. dt二次开发之-url伪静态的自定义

    dt内核的方便性在于代码内核完全开源,都可以根据自身需要进行优化整改,个人在这段时间的深入研究,发现这套内核的方便性,今天继续给大家分享下DT的url伪静态如何自定义函数. url自定义文件是在api ...

  4. ThinkPHP下隐藏index.php以及URL伪静态

    第一种方法: 设置url的重写模式(默认模式是1) 'URL_MODEL' => 2, // URL访问模式,可选参数0.1.2.3,代表以下四种模式: 第二种方法:  使用Apache来进行设 ...

  5. 开启URL伪静态的方法

    ## 开启URL伪静态的方法.txt# 1. 请确认您服务器的类型. ThinkSNS的伪静态规则支持Apache.IIS.Nginx. 2. 请确认您的服务器支持URL Rewrite(可从服务器提 ...

  6. DZ 3.2 URL 伪静态配置 教程

    原文转自:http://www.zccode.com/thread-682-1-1.html 教程说明: 1 首先需要下载URL重写工具,拷到服务器下面安装即可,这里配置IIS7(x64)伪静态. 工 ...

  7. ThinkPHP - URL - 伪静态 - 路由 - 重写

    URL: 一.URL规则 1.默认是区分大小写,可以修改(配置文件)为不区分大小写. 2. //修改URL大小写问题 'URL_CASE_INSENSITIVE' =>true, 如果模块名为 ...

  8. thinkphp URL规则、URL伪静态、URL路由、URL重写、URL生成(十五)

    原文:thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成(十五) 本章节:详细介绍thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成 一.URL ...

  9. ThinkPHP URL伪静态、路由规则、重写、生成

    一.URL规则    1.默认是区分大小写的     2.如果我们不想区分大小写可以改配置文件        'URL_CASE_INSENSITIVE'=>true,//url不区分大小写   ...

随机推荐

  1. CentOS 6.5 通过命令行安装发送邮件

    1.安装sendmail: yum install sendmail 2.安装mailx: yum install mailx -y 3.编辑发送的配置文件: vi /etc/mail.rc #在最后 ...

  2. 从零部署Spring boot项目到云服务器(正式部署)

    上一篇文章总结了在Linux云服务器上部署Spring Boot项目的准备过程,包括环境的安装配置,项目的打包上传等. 链接在这里:http://www.cnblogs.com/Lovebugs/p/ ...

  3. PTA 第二周作业 张乐

    题目1:整数的四则运算 1.实验代码 #include <stdio.h> int main() { int A,B; scanf("%d %d",&A,&am ...

  4. itchat 微信的使用

    #coding=utf8 import itchat # 自动回复 # 封装好的装饰器,当接收到的消息是Text,即文字消息 @itchat.msg_register('Text') def text ...

  5. 动手写IL到Lua的翻译器——准备

    文章里的代码粘过来的时候格式有点问题,原因是一开始文章是在订阅号上写的(gamedev101,文末有二维码),不知道为啥贴过来就没了格式,还要手动删行号,就没搞了. 介绍下问题背景: 小说君正在参与的 ...

  6. jstree的简单用法

    一般我们用jstree主要实现树的形成,并且夹杂的邮件增删重命名刷新的功能 下面是我在项目中的运用,采用的是异步加载 $('#sensor_ul').data('jstree', false).emp ...

  7. New UWP Community Toolkit - ImageEx

    概述 UWP Community Toolkit  中有一个图片的扩展控件 - ImageEx,本篇我们结合代码详细讲解  ImageEx 的实现. ImageEx 是一个图片的扩展控件,包括 Ima ...

  8. 接触JS的变量

    刚刚接触到js,写的代码都是很简单的,制单的概念也相当少,新学习的就是变量.let和const以及js的数据类型. 变量的内容有五个,我就不一一介绍了,重点在于: 在 JavaScript 中,使用变 ...

  9. python之路--day10-闭包函数

    1.命名关键字参数 格式:在*后面的参数都是命名关键字参数 特点: 1.必须被传值 2.约束函数的调用者必须按照key=value的形式传值 3.约束函数的调用者必须用我们指定的key名 def au ...

  10. [2]十道算法题【Java实现】

    前言 清明不小心就拖了两天没更了-- 这是十道算法题的第二篇了-上一篇回顾:十道简单算法题 最近在回顾以前使用C写过的数据结构和算法的东西,发现自己的算法和数据结构是真的薄弱,现在用Java改写一下, ...