拐弯抹角

先贴代码

  <?php

 // code by SEC@USTC

 echo '<html><head><meta http-equiv="charset" content="gbk"></head><body>';

 $URL = $_SERVER['REQUEST_URI'];

 //echo 'URL: '.$URL.'<br/>';

 $flag = "CTF{???}";

 $code = str_replace($flag, 'CTF{???}', file_get_contents('./index.php'));

 $stop = 0;

 //这道题目本身也有教学的目的

 //第一,我们可以构造 /indirection/a/../ /indirection/./ 等等这一类的

 //所以,第一个要求就是不得出现 ./

 if($flag && strpos($URL, './') !== FALSE){

     $flag = "";

     $stop = 1;        //Pass

 }

 //第二,我们可以构造 \ 来代替被过滤的 /

 //所以,第二个要求就是不得出现 ../

 if($flag && strpos($URL, '\\') !== FALSE){

     $flag = "";

     $stop = 2;        //Pass

 }

 //第三,有的系统大小写通用,例如 indirectioN/

 //你也可以用?和#等等的字符绕过,这需要统一解决

 //所以,第三个要求对可以用的字符做了限制,a-z / 和 .

 $matches = array();

 preg_match('/^([0-9a-z\/.]+)$/', $URL, $matches);

 if($flag && empty($matches) || $matches[1] != $URL){

     $flag = "";

     $stop = 3;        //Pass

 }

 //第四,多个 / 也是可以的

 //所以,第四个要求是不得出现 //

 if($flag && strpos($URL, '//') !== FALSE){

     $flag = "";

     $stop = 4;        //Pass

 }

 //第五,显然加上index.php或者减去index.php都是可以的

 //所以我们下一个要求就是必须包含/index.php,并且以此结尾

 if($flag && substr($URL, -10) !== '/index.php'){

     $flag = "";

     $stop = 5;        //Not Pass

 }

 //第六,我们知道在index.php后面加.也是可以的

 //所以我们禁止p后面出现.这个符号

 if($flag && strpos($URL, 'p.') !== FALSE){

     $flag = "";

     $stop = 6;        //Not Pass

 }

 //第七,现在是最关键的时刻

 //你的$URL必须与/indirection/index.php有所不同

 if($flag && $URL == '/indirection/index.php'){

     $flag = "";

     $stop = 7;        //Not Pass

 }

 if(!$stop) $stop = 8;

 echo 'Flag: '.$flag;

 echo '<hr />';

 for($i = 1; $i < $stop; $i++)

     $code = str_replace('//Pass '.$i, '//Pass', $code);

 for(; $i < 8; $i++)

     $code = str_replace('//Pass '.$i, '//Not Pass', $code);

 echo highlight_string($code, TRUE);

 echo '</body></html>';

上面的代码就是一系列思路讲解,可以好好地看一下

又来学习新姿势了:这题的关键在于伪静态,比如url中含有xxxx.php/xx/x,那么.php后的xx就会被当成参数名,x会被当成参数

所以这里的payload可以这么构造:http://ctf5.shiyanbar.com/indirection/index.php/x/index.php

Forms

看看源码没啥提示,那就直接抓包看看

把showsource的值改成1,得到了我们想要的东西

 $a = $_POST["PIN"];

 if ($a == -19827747736161128312837161661727773716166727272616149001823847) {

     echo "Congratulations! The flag is $flag";

 } else {

     echo "User with provided PIN not found.";

 }

这不是送分题么,直接把这一大段post给pin就完事了

实验吧_拐弯抹角(url伪静态)&Forms的更多相关文章

  1. ASP.NET URL伪静态重写实现方法

    ASP.NET URL伪静态重写实现方法 首先说下,ASP.NET URL伪静态只是将~/a_1.html指向到了~/a.aspx?ID=1,但a.aspx还是真实存在的,你不用./a_1.html来 ...

  2. SEO之基于thinkphp的URL伪静态

    最近基于thinkphp开发了个导购网站,现在有时间,将遇到的伪静态问题整理下,与大家分享.1.设置URL伪静态在config.ini.php中设置,如果只想前台URL伪静态,那么只在前台的confi ...

  3. dt二次开发之-url伪静态的自定义

    dt内核的方便性在于代码内核完全开源,都可以根据自身需要进行优化整改,个人在这段时间的深入研究,发现这套内核的方便性,今天继续给大家分享下DT的url伪静态如何自定义函数. url自定义文件是在api ...

  4. ThinkPHP下隐藏index.php以及URL伪静态

    第一种方法: 设置url的重写模式(默认模式是1) 'URL_MODEL' => 2, // URL访问模式,可选参数0.1.2.3,代表以下四种模式: 第二种方法:  使用Apache来进行设 ...

  5. 开启URL伪静态的方法

    ## 开启URL伪静态的方法.txt# 1. 请确认您服务器的类型. ThinkSNS的伪静态规则支持Apache.IIS.Nginx. 2. 请确认您的服务器支持URL Rewrite(可从服务器提 ...

  6. DZ 3.2 URL 伪静态配置 教程

    原文转自:http://www.zccode.com/thread-682-1-1.html 教程说明: 1 首先需要下载URL重写工具,拷到服务器下面安装即可,这里配置IIS7(x64)伪静态. 工 ...

  7. ThinkPHP - URL - 伪静态 - 路由 - 重写

    URL: 一.URL规则 1.默认是区分大小写,可以修改(配置文件)为不区分大小写. 2. //修改URL大小写问题 'URL_CASE_INSENSITIVE' =>true, 如果模块名为 ...

  8. thinkphp URL规则、URL伪静态、URL路由、URL重写、URL生成(十五)

    原文:thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成(十五) 本章节:详细介绍thinkphp URL规则.URL伪静态.URL路由.URL重写.URL生成 一.URL ...

  9. ThinkPHP URL伪静态、路由规则、重写、生成

    一.URL规则    1.默认是区分大小写的     2.如果我们不想区分大小写可以改配置文件        'URL_CASE_INSENSITIVE'=>true,//url不区分大小写   ...

随机推荐

  1. 慢查询日志(mysql)

    参考 针对mysql的优化,mysql提供了慢查询日志的支持.mysql的慢查询是mysql提供的一种日志记录,它用来记录mysql中响应时间超过阀值的sql语句,某个sql运行时间如果超过设置的阀值 ...

  2. Python打包工具setuptools的使用

    将我们写的Python程序发布成包后,可以使其能够安装使用. 在项目上测试的时候,某些情况下,可以将Python打包,然后上传到测试服务器,安装测试. setuptools是常用的打包工具. 一个简单 ...

  3. 赛博杯-HMI流水灯-stack

    stack(ret2libc) 分析 首先checksec一下,发现没开栈保护,可能是栈溢出. [*] '/root/Desktop/bin/pwn/stack_/stack' Arch: i386- ...

  4. linux下文件的复制、移动与删除命令为:cp,mv,rm

    一.文件复制命令cp    命令格式:cp [-adfilprsu] 源文件(source) 目标文件(destination)    cp [option] source1 source2 sour ...

  5. Could not create pool connection. The DBMS driver exception was: null, message from server: "Host '192.168.XX.XX' is blocked because of many connection errors; unblock with 'mysqladmin flush-hosts'

    早上打开浏览器准备登陆某个系统,发现Error 404--Not Found,有点奇怪,这个服务器应该没人用了才对,然后到weblogic后台去看日志,报如下错误: "Could not c ...

  6. 一个C&C++程序的生命历程

    翻了好多博客,内容星星点点,没找到我想要的,现在吸取大神精华,加上本人拙见,总结如下: 一个C或C++程序从你开始编写,到结束,整个过程,都做了些什么,请看下文: 先看大体的过程:看图: 我在这里主要 ...

  7. Java ftp 上传文件和下载文件

    今天同事问我一个ftp 上传文件和下载文件功能应该怎么做,当时有点懵逼,毕竟我也是第一次,然后装了个逼,在网上找了一段代码发给同事,叫他调试一下.结果悲剧了,运行不通过.(装逼失败) 我找的文章链接: ...

  8. zookeeper 入门系列-理论基础 – zab 协议

    上一章讨论了paxos算法,把paxos推到一个很高的位置.但是,paxos有没有什么问题呢?实际上,paxos还是有其自身的缺点的: 1. 活锁问题.在base-paxos算法中,不存在leader ...

  9. OpenShift实战(二):OpenShift节点扩容

    1.新增节点信息 增加节点如下,请将xxx改为自己的域名 node6.xxx.net Node 192.168.8.90 8G 20G/60G 4C node7.xxx.net Node 192.16 ...

  10. Ubuntu16.04建立本地更新源

    公司有多台Ubuntu机器,而且不能连接互联网,导致安装软件和更新都比较麻烦,需要建立一台本地更新源服务器. 1.安装apt-mirror工具 sudo apt-get install -y apt- ...