首页 > 其他分享> > BMZCTF：端午就该吃粽子

BMZCTF：端午就该吃粽子

2021-07-16 20:01:04 作者：互联网

一.题目
url=http://www.bmzclub.cn:21708/login.php?zhongzi=show.php
在这里插入图片描述
输入用户名和密码，发现没有登录效果。

二.解题思路
1.看源码
发现有注释要我们看index.php。
在这里插入图片描述
直接访问index.php，发现访问不出什么东西。想到用伪协议,zhongzi=php://filter/read=convert.base64-encode/resource=index.php。
之后用base解码，得到源码：

在这里插入图片描述
发现有两个正则需要绕过，可以构造url=127.0.0.1|ca\t$ IFS/???(\对cat绕过，后面的preg_match使用正则绕过，$IFS对空格进行绕过)，得到

标签：index,粽子,BMZCTF,端午,IFS,源码,zhongzi,绕过,php
来源： https://blog.csdn.net/battleman111/article/details/118817569