buuctf-web|buu-[Zer0pts2020]Can you guess it?
有源码直接看源码了
![buuctf-web|buu-[Zer0pts2020]Can you guess it?](https://img.it610.com/image/info8/2a16d50fd7c149df9c058c07bddbec67.jpg)
文章图片
源码审计
有关于$_SERVER[‘PHP_SELF’]。
(preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF']))
不能以config.php结尾
secret反正猜不着,
那么就要好好利用basename($_SERVER[‘PHP_SELF’])了
basename() 函数会返回路径中的文件名部分
假如路径是/index.php/config.php
basename后会返回config.php,就算后面跟上多余的字符也会返回文件名部分
【buuctf-web|buu-[Zer0pts2020]Can you guess it?】在官方的英文描述中
With the default locale setting “C”, basename() drops non-ASCII-chars
at the beginning of a filename.
basename()函数会去掉文件名开头的非ASCII值
ASCII值范围为0-255,但ASCII码并没有规定编号为128~255的字符(大于%ff的会报错400 Bad Request)
ASCII表范围为0-127,也就是我们传入128(%80)以上的数值,即可绕过正则
除此以为根据题目提示我们读取flag还需要用到?source
跑一跑
![buuctf-web|buu-[Zer0pts2020]Can you guess it?](https://img.it610.com/image/info8/f0177a602bfa4fc49038d9d9c5fbcc3e.jpg)
文章图片
%5c是反斜杠,会报错剩下的80-ff随便带一个就行
Payload: /index.php/config.php/%81?source
![buuctf-web|buu-[Zer0pts2020]Can you guess it?](https://img.it610.com/image/info8/8d13a5a0b19f48beaa27b1f80f0ac304.jpg)
文章图片
